De: "JUPIN Alain" <ajupin@jupin.net>
À: "Liste Debian" <debian-user-french@lists.debian.org>
Envoyé: Jeudi 21 Avril 2022 09:26:49
Objet: Firewall iptables qui ne bloque pas le port 53
Bonjour,
Je vous soumet un petit problème ... sur une install Debian 11, j'ai installé pi-hole (pour bloquer les pubs)
Pihole fonctionne, mais (il y a toujours un mais), je cherche a
bloquer son usage que pour quelques IP (vu qu'il est sur une IP
publique).
Voici donc les règles de mon firewall
# Politique par defaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P FORWARD DROP
ip6tables -t filter -P OUTPUT ACCEPT
# Autoriser le Loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
ip6tables -t filter -A INPUT -i lo -j ACCEPT
ip6tables -t filter -A OUTPUT -o lo -j ACCEPT
###############################################################################
# INBOUND TRAFIC # ###############################################################################
# On accepte les paquets déjà établis
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# PING (ICMP)
iptables -A INPUT -p icmp -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
# DNS
iptables -A INPUT -p tcp -s monIPv4 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s monIPv4 --dport 53 -j ACCEPT
ip6tables -A INPUT -p tcp -s monIPv6 --dport 53 -j ACCEPT
ip6tables -A INPUT -p udp -s monIPv6 --dport 53 -j ACCEPT
# HTTP(S)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT
# On bloque tout le reste
iptables -A INPUT -p tcp -j DROP
ip6tables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP
ip6tables -A INPUT -p udp -j DROP
Le problème est que même activé, le port 53 n'est pas "bloqué" et
tout le monde peut accéder à mon pi-hole !
J'ai ajouté les 4 dernière lignes, mais sans effet !
Bref, je dois bien passer a coté de quelques choses mais je ne vois
pas quoi !
Merci d'avance pour votre aide.
--
Alain JUPIN
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 296 |
Nodes: | 16 (2 / 14) |
Uptime: | 52:14:42 |
Calls: | 6,650 |
Calls today: | 2 |
Files: | 12,200 |
Messages: | 5,330,387 |