Как записать правило в iptables от ipchains

[aviacliff]

Имеется от ipchains правило

Код: [Выделить]

ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $NAMESERVER_1 53 \
  -d $IPADDR $UNPRIVPORTS -j ACCEPT
Вопрос: Что здесь означает  -y и как это правило может выглядеть в iptables?

[AnrDaemon]

Лучше скажите, что вы вообще хотите сделать...

[aviacliff]

Если можно так сказать, то данный вопрос относится к разделу файервола DNS-клиент 53 порт.
В Иyтернете есть фраза:
 

Запросы от клиента к серверу по протоколу TCP разрешены, если не прошли UDP-запросы.
Это встречается редко. Обычно клиенты используют TCP для передачи зон вторичному серверу от первичного. и если они не хакеры.

И приводится правило, которое я написал выше.

На современный лад думаю это будет выглядеть так ( если что поправьте):

Код: [Выделить]

$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIVPORTS --sport 53 -j ACCEPT ! --syn

[AnrDaemon]

Не проще ли разрешить обращения из локальной сети и не мучаться?

[aviacliff]

Попробую воспользоваться советом!

[ArcFi]

aviacliff, зачем вам доступ снаружи с порта 53 на непонятный порт этой машины?
Правило выглядит странно.
Обычно открывают доступ на определённые порт (порт назначения).
И когда речь заходит о доступе к DNS, то чаще всего, в качестве источника идёт локалка, а не инет.

[aviacliff]

Относительно странности не спорю.
Думаю что то здесь должно выглядеть следующим образом:

Код: [Выделить]

#  Цепочку  используем, когда необходимо разрешить прохождение пакетов, с определенных портов или адресов
   
   $IPTABLES -N com-allow
   $IPTABLES -F com-allow
   
   $IPTABLES -A com-allow -p udp -j ACCEPT
# Разрешаем входящие по DNS
  $IPTABLES -A INPUT -s $LAN -p udp --dport domain -j com-allow
# Правило для исходящего трафика DNS
$IPTABLES -A OUTPUT -p udp --dport domain -j com-allow


где LAN="192.168.19.0/24" # внутренняя сеть