I see, but It should be statefull right ?<br><br><br><div class="gmail_quote">On 12 March 2012 23:57, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org">marka@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
In message <<a href="mailto:CAAoQnKg-xfkWs_fEn9KeDub7w19vF4JoCSfp52Lb8ixv5%2BG_Yg@mail.gmail.com">CAAoQnKg-xfkWs_fEn9KeDub7w19vF4JoCSfp52Lb8ixv5+G_Yg@mail.gmail.com</a>><br>
<div class="im">, Romgo writes:<br>
><br>
> Here is my Iptables configuration for bind :<br>
><br>
> # <a href="http://prod.dns.in" target="_blank">prod.dns.in</a><br>
> $IPTABLES -t filter -A INPUT -j LOGACCEPT -p udp --dport 53 -i eth1-d<br>
> 192.168.201.2 -s 0/0<br>
> $IPTABLES -t filter -A INPUT -j LOGACCEPT -p tcp --dport 53 -i eth1 -d<br>
> 192.168.201.2 -s 0/0<br>
><br>
><br>
> # OUTPUT<br>
> #-------------<br>
> # prod.dns.out<br>
> $IPTABLES -t filter -A OUTPUT -j LOGACCEPT -p tcp --dport 53 -o eth1 -s<br>
> 192.168.201.2 -d 0/0<br>
> $IPTABLES -t filter -A OUTPUT -j LOGACCEPT -p udp --dport 53 -o eth1 -s<br>
> 192.168.201.2 -d 0/0<br>
<br>
</div>This is obviously wrong.  You want to be looking at the source port not<br>
the destination port for reply traffic.<br>
<span class="HOEnZb"><font color="#888888"><br>
Mark<br>
--<br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: <a href="tel:%2B61%202%209871%204742" value="+61298714742">+61 2 9871 4742</a>                 INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>
<br>
</font></span></blockquote></div><br>