Mám pravidlo
-A FORWARD -i en1kdo2tyhle3 -o en4kdebilni5nazvy -m conntrack --ctstate RELATED,ESTABLISHED -c 50604787 70467320953 -j ACCEPT v FORWARDU.
Je dobrý nápad toto pravidlo omezit na protokol TCP?
(Protože jsem si v výstupu sudo conntrack -E všiml)
[NEW] udp 17 30 src=10.1.1.54 dst=10.1.1.23 sport=61023 dport=53 [UNREPLIED] src=10.1.1.23 dst=10.1.1.54 sport=53 dport=61023
[UPDATE] udp 17 30 src=10.1.1.54 dst=10.1.1.23 sport=61023 dport=53 src=10.1.1.23 dst=10.1.1.54 sport=53 dport=61023
[DESTROY] udp 17 src=10.1.1.54 dst=10.1.1.23 sport=56119 dport=53 src=10.1.1.23 dst=10.1.1.54 sport=53 dport=56119
[NEW] udp 17 30 src=10.1.1.54 dst=10.1.1.23 sport=53187 dport=53 [UNREPLIED] src=10.1.1.23 dst=10.1.1.54 sport=53 dport=53187
[NEW] udp 17 30 src=192.168.2.8 dst=8.8.8.87 sport=18742 dport=53 [UNREPLIED] src=8.8.8.87 dst=192.168.2.8 sport=53 dport=18742
(8.8.8.8 remote DNS, 10.1.1.0= vniřní síť, 10.1.1.23 ip routeru ve vnitřní síti, 192.168.2.8/24 přiřazená IP/síť mému routeru, na který se ptám)
Nemohu mít třeba blbě nastavený dns forwarder(použitý pro klienty z vnitřní sítě), že dotazy posílá pod IP adresou vnitřní sítě a dochází k zbytečnému NATování?
Teď jsem to omylem rozšířil na 2 otázky... - vyňatí UDP z conntrack a analýza chování dns forwarding demona
0 Odpovědí
1214 Zhlédnutí