Debian 9 では、隠し DNS クエリを許可しますか?

tag-icon tag-icon debian iptables dns
Debian 9 では、隠し DNS クエリを許可しますか?

以前のDebian Jessieでは、DNSトラフィックをマイルータ(192.168.1.1)に制限するようにiptablesを設定できました。

Chain OUTBOUND (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     tcp  --  192.168.1.1          0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  192.168.1.1          0.0.0.0/0            udp dpt:53
LSO        all  --  0.0.0.0/0            0.0.0.0/0

Debian Stretchの使用はもう機能しません。

Debian Stretch は、ポート 53 がどこでも開かれるように強制します。そうしないと、ブラウザやその他のソフトウェアは機能しません。これにより、3番目のソフトウェアがDNSクエリを非表示にできるかどうかを心配しています。

この単純なiptablesルールがStretchで機能しないのはなぜですか?

編集する:

root:# cat /etc/resolv.conf
# Generated by NetworkManager
search 192.168.1.1
nameserver 192.168.1.1


root:# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.424 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.298 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.494 ms


root:# tcpdump -nt -i eth0 udp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured


root:# dig 192.168.1.1
^C

答えがない

ルーター側から:

root@router:~ # dig 192.168.1.103

; <<>> DiG 9.2.4 <<>> 192.168.1.103
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31716
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;192.168.1.103.                 IN      A

;; ANSWER SECTION:
192.168.1.103.          0       IN      A       192.168.1.103

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Oct 17 19:07:32 2018
;; MSG SIZE  rcvd: 47


root@router:~ # ping 192.168.1.103
PING 192.168.1.103 (192.168.1.103) 56(84) bytes of data.
64 bytes from 192.168.1.103: icmp_seq=0 ttl=64 time=0.257 ms
64 bytes from 192.168.1.103: icmp_seq=1 ttl=64 time=0.222 ms
64 bytes from 192.168.1.103: icmp_seq=2 ttl=64 time=0.331 ms
^C
--- 192.168.1.103 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.222/0.270/0.331/0.045 ms, pipe 2

ベストアンサー1

これ:

ACCEPT     tcp  --  192.168.1.1          0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  192.168.1.1          0.0.0.0/0            udp dpt:53

これは、192.168.1.1 からポート 53 への要求を許可することを意味します。ソースポート53にも同様の規則を使用する必要があります。

おすすめ記事