[caiu] Redirecionamento de DNS

Francisco Paletta francisco em assembler.com.br
Qua Jun 14 16:08:34 BRT 2017


Srs.

Apenas um alerta: Cuidado com o redirecionamento indiscriminado. No caso de
consultas DNS, se você redirecionar todo o trafego da porta 53 (inclusive
aqueles destinados aos servidores com Autoridade) poderá se enquadrar num
caso de DNS Spoofing - sujeito a denúncia, investigação e intervenção.

Sugiro fazer o redirecionamento apenas de servidores DNS publicamente
conhecidos por serem apenas cache (ex. 8.8.8.8, 8.8.4.4)

Att,




Francisco Paletta
(11)99595-0950


Em 14 de junho de 2017 15:54, Leonardo Rodrigues <leolistas em solutti.com.br>
escreveu:

>
>     eu abomino, com todas as minhas forças, regra que usa negação.
> Funcionar, funciona, mas não permite ter mais de uma exceção, seja IP ou
> subnet, é um saco.
>
>     eu prefiro usar:
>
> iptables -t nat -A PREROUTING -p udp --dport 53 -d $meu-servidor-dns1 -j
> ACCEPT
> iptables -t nat -A PREROUTING -p udp --dport 53 -d $meu-servidor-dns2 -j
> ACCEPT
> iptables -t nat -A PREROUTING -p udp --dport 53 -d $excecao1 -j ACCEPT
> iptables -t nat -A PREROUTING -p udp --dport 53 -d $excecao2 -j ACCEPT
> iptables -t nat -A PREROUTING -p udp --dport 53 -d $excecao3 -j ACCEPT
> iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination
> $meu-servidor-dns1
>
>     na prática, funciona igual. Mas pra mim, sinceramente, muito mais
> simples de entender e gerenciar do que usando negação
>
> Em 14/06/17 15:49, Andre Almeida escreveu:
>
>> Savio, acho que ela quer redirecionar e não dropar.
>>
>> No iptables acho que seria assim:
>>
>> iptables -t nat -I PREROUTING -p udp --dport 53 -d ! $meu-servidor-dns -j
>> DNAT --to-destination $meu-servidor-dns
>>
>>
> --
>
>
>         Atenciosamente / Sincerily,
>         Leonardo Rodrigues
>         Solutti Tecnologia
>         http://www.solutti.com.br
>
>         Minha armadilha de SPAM, NÃO mandem email
>         gertrudes em solutti.com.br
>         My SPAMTRAP, do not email it
>
>
>
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu