Как в iptables запретить доступ по 53 порту из мира

[mrSaigon]

Здравствуйте!
Помогите пожалуйста решить очередную задачку.
Есть роутер собранный на Ubuntu Server 12.04. В принципе все работает замечательно, но мне перезвонил мой провайдер и попросил закрыть порт 53 (DNS) с мира.
Вот мой файл настроек фаервола:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
INET_IFACE="eth0"   #Интерфейс к которому подключен интернет
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

Еще назрел один вопрос: достаточно ли запустить файл фаервола (у меня он называется set_firewall) чтоб настройки перегрузились? 
И еще: подскажите как потом проверить запрещен ли доступ с мира к 53 порту?
Буду очень признателен за оказанную помощь!

[SvMidi]

по 53, если не ошибаюсь, ходят dns запросы, зачем его зарывать?

[mrSaigon]

по 53, если не ошибаюсь, ходят dns запросы, зачем его зарывать?

Из мира провайдер попросил закрыть, якобы уязвимо это.

[AnrDaemon]

Ээээ... чё?

[ii343hbka]

sudo iptables -A INPUT -i имя_интерфеса -p all -dport 53 -j REJECT --reject-with icmp-host-unreachable

проверить можно 2ip.ru, там есть проверка порта

[AnrDaemon]

ii343hbka, хороший способ зарубить себе интернет.

[ii343hbka]

мне норм

[mrSaigon]

Последнее что я пробовал, это:
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j DROP
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j DROP
но на некоторых компах пропал и-нет

[AnrDaemon]

Он и должен был пропасть. Вы себе DNS перекрыли.

[ArcFi]

Из мира провайдер попросил закрыть, якобы уязвимо это.

Показывайте:

Код: [Выделить]

ip a ; ip r ; sudo ss -lnptu | sort ; sudo iptables-save

[mrSaigon]

Из мира провайдер попросил закрыть, якобы уязвимо это.

Показывайте:

Код: [Выделить]

ip a ; ip r ; sudo ss -lnptu | sort ; sudo iptables-save

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:01:02:08:26:0a brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
    inet6 fe80::201:2ff:fe08:260a/64 scope link
       valid_lft forever preferred_lft forever
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:17:31:60:60:57 brd ff:ff:ff:ff:ff:ff
    inet xxx.xxx.xxx.xxx/29 brd xxx.xxx.xxx.xxx scope global eth0
    inet6 fe80::217:31ff:fe60:6057/64 scope link
       valid_lft forever preferred_lft forever
default via xxx.xxx.xxx.xxx dev eth0  metric 100
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.1
xxx.xxx.xxx.xxx/29 dev eth0  proto kernel  scope link  src xxx.xxx.xxx.xxx
Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
tcp    LISTEN     0      128                    *:22                    *:*      users:(("sshd",820,3))
tcp    LISTEN     0      128                   :::22                   :::*      users:(("sshd",820,4))
tcp    LISTEN     0      5                      *:53                    *:*      users:(("dnsmasq",956,7))
tcp    LISTEN     0      5                     :::53                   :::*      users:(("dnsmasq",956,9))
udp    UNCONN     0      0                      *:53                    *:*      users:(("dnsmasq",956,6))
udp    UNCONN     0      0                     :::53                   :::*      users:(("dnsmasq",956,8))
udp    UNCONN     0      0                      *:67                    *:*      users:(("dnsmasq",956,5))
# Generated by iptables-save v1.4.12 on Sat Oct 26 13:35:24 2013
*nat
:PREROUTING ACCEPT [1632226:119969730]
:INPUT ACCEPT [1472750:107253047]
:OUTPUT ACCEPT [1382144:98722103]
:POSTROUTING ACCEPT [5245:475054]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Oct 26 13:35:24 2013
# Generated by iptables-save v1.4.12 on Sat Oct 26 13:35:24 2013
*filter
:INPUT ACCEPT [7794684:11427767185]
:FORWARD ACCEPT [9977204:6443214214]
:OUTPUT ACCEPT [6324563:4185938838]
-A FORWARD -s 192.168.1.34/32 -d 173.252.100.27/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.34/32 -d 217.20.147.94/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.34/32 -d 87.240.131.120/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.34/32 -d 87.240.143.244/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.16/32 -d 173.252.100.27/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.16/32 -d 217.20.147.94/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.16/32 -d 87.240.143.244/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.16/32 -d 87.240.131.120/32 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Oct 26 13:35:24 2013

[ArcFi]

mrSaigon, открываем

Код: [Выделить]

man dnsmasqИ читаем про

Код: [Выделить]

listen-address
interface
bind-interfaces
Дополнительно читаем:
https://help.ubuntu.ru/wiki/iptables

[mrSaigon]

mrSaigon, открываем

Код: [Выделить]

man dnsmasqИ читаем про

Код: [Выделить]

listen-address
interface
bind-interfaces
Дополнительно читаем:
https://help.ubuntu.ru/wiki/iptables

Спасибо! Прочел, но для меня тяжеловато это все в кучу свести, извините, новичок я в этом
Роутер собирал по инструкции шаг за шагом. Шаг влево, шаг вправо это для меня неизведанная пучина.

[ArcFi]

Код: [Выделить]

listen-address=192.168.1.1
bind-interfaces

[mrSaigon]

Код: [Выделить]

listen-address=192.168.1.1
bind-interfaces

Это нужно прописать в файле dnsmasq и тогда 53-й порт будет закрыт из мира?