Блокировать все входящие DNS-запросы, кроме IP-адресов x,y,
Я хочу заблокировать все входящие запросы на моих двух DNS-серверах APART ОТ определенных IP-адресов, например, IP 1.2.3.4 будет разрешено делать запросы, но НИКТО не разрешит.
Как вы делаете это с iptables?
Большое спасибо.
1 ответ
Это очень просто с iptables:
Я предполагаю, что ваша цепочка INPUT в конце не имеет правила DROP по умолчанию, или вам придется обойти это:
# Allow DNS (53) from <source IP>
iptables -A INPUT -p udp --dport 53 -s <source IP> -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -s <source IP> -j ACCEPT
# Deny all other DNS requests
iptables -A INPUT -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 53 -j DROP
Просто удалите два нижних правила, если у вас есть политика DROP по умолчанию. Если у вас есть правило DROP по умолчанию в нижней части цепочки, вам придется вставить (-I rulenum
) эти правила выше этого правила.