pixel
23.10.02, 18:31
Hi@all,
ich betreibe im LAN einen DNS-Server. Dieser kann sowohl interne wie auch externe Adressen auflösen bzw. frägt im Falle einer ext. den darüberligenden Namserver des Providers.
In meinen derzeitigen Filterregeln ist es allen Clients erlaubt externe DNS-Server zu befragen:
iptables -A FORWARD -o $EXT -m state --state NEW -p UDP --sport $P_HIGH -d $NS --dport domain -j ACCEPT
iptables -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $P_HIGH -d $NS --dport domain -j ACCEPT
wie kann ich dies weiter Einschränken das nur noch die int. IP-Adresse 1.2.3.4 den ext. DNS-Server des Providers kontaktieren darf?
$EXT = ppp0
$P_HIGH = 1024:65535
$NS = ( [1.Provider-DNS] [2.Provider-DNS] )
Gruss Pixel
ich betreibe im LAN einen DNS-Server. Dieser kann sowohl interne wie auch externe Adressen auflösen bzw. frägt im Falle einer ext. den darüberligenden Namserver des Providers.
In meinen derzeitigen Filterregeln ist es allen Clients erlaubt externe DNS-Server zu befragen:
iptables -A FORWARD -o $EXT -m state --state NEW -p UDP --sport $P_HIGH -d $NS --dport domain -j ACCEPT
iptables -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $P_HIGH -d $NS --dport domain -j ACCEPT
wie kann ich dies weiter Einschränken das nur noch die int. IP-Adresse 1.2.3.4 den ext. DNS-Server des Providers kontaktieren darf?
$EXT = ppp0
$P_HIGH = 1024:65535
$NS = ( [1.Provider-DNS] [2.Provider-DNS] )
Gruss Pixel