特定のIPアドレスから離れた2つのDNSサーバー上のすべての着信要求をブロックします。 1.2.3.4のIPは要求を行うことが許可されますが、それ以外の場合は許可されません。
Iptablesでこれをどのように行いますか?
どうもありがとう。
これはiptablesで非常に簡単です:
最後に、INPUTチェーンにデフォルトのDROPルールがないと想定します。そうしないと、次のように対処する必要があります。
# Allow DNS (53) from <source IP>
iptables -A INPUT -p udp --dport 53 -s <source IP> -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -s <source IP> -j ACCEPT
# Deny all other DNS requests
iptables -A INPUT -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 53 -j DROP
デフォルトのDROPポリシーがある場合は、下の2つのルールを削除するだけです。チェーンの最下部にデフォルトのDROPルールがある場合は、これらのルールをそのルールの上に(-I rulenum
)挿入する必要があります。