Tường lửa vẫn chặn cổng 53 mặc dù có liệt kê khác?

8

Tôi có 3 nút với các quy tắc iptables gần như giống nhau được tải từ tập lệnh bash, nhưng một nút cụ thể đang chặn lưu lượng trên cổng 53 mặc dù liệt kê nó chấp nhận nó:

$ iptables --list -v

Chuỗi INPUT (gói DROP 8886 chính sách, 657K byte)
 pkts byte đích prot opt ​​trong nguồn đích         
    0 0 CHẤP NHẬN tất cả - lo mọi lúc mọi nơi            
    2 122 CHẤP NHẬN icmp - mọi nơi mọi nơi mọi nơi icmp echo-request 
20738 5600K CHẤP NHẬN tất cả - mọi nơi mọi nơi ở mọi nơi LIÊN QUAN, THÀNH LẬP 
    0 0 CHẤP NHẬN tcp - eth1 bất cứ nơi nào node1.com đa nhiệm trình diễn http, smtp 
    0 0 CHẤP NHẬN udp - eth1 bất cứ nơi nào ns.node1.com udp dpt: domain 
    0 0 CHẤP NHẬN tcp - eth1 bất cứ nơi nào ns.node1.com tcp dpt: domain 
    0 0 CHẤP NHẬN tất cả - eth0 bất kỳ nút2.backend ở bất cứ đâu            
   21 1260 CHẤP NHẬN tất cả - eth0 bất kỳ nút3.backend ở bất cứ đâu            
    0 0 CHẤP NHẬN tất cả - eth0 bất kỳ nút4.backend ở bất cứ đâu            

Chuỗi FORWARD (chính sách DROP 0 gói, 0 byte)
 pkts byte đích prot opt ​​trong nguồn đích         

Chuỗi OUTPUT (chính sách CHẤP NHẬN 15804 gói, 26M byte)
 pkts byte đích prot opt ​​trong nguồn đích

nmap -sV -p 53 ns.node1.com // Từ máy chủ từ xa

Bắt đầu Nmap 4.11 (http://www.insecure.org/nmap/) lúc 2011/02/24 11:44 EST
Các cổng thú vị trên ns.node1.com (1.2.3.4):
PHIÊN BẢN DỊCH VỤ NHÀ NƯỚC
Tên miền được lọc 53 / tcp

Nmap đã hoàn thành: 1 địa chỉ IP (1 máy chủ lưu trữ) được quét trong 0,336 giây

Có ý kiến ​​gì không?

Cảm ơn

domain-name-system  firewall  iptables 
Tom
nguồn

Câu trả lời:

3

Tôi nhận thấy rằng các gói không thực sự đã đạt đến iptablesquy tắc ACCEPT của bạn cho DNS. Tôi nghĩ rằng có khả năng các iptablesquy tắc của bạn đang chỉ định kết hợp các điều kiện không nhất quán không bao giờ khớp với các truy vấn DNS đến.

Trong trường hợp của bạn, các quy tắc ACCEPT DNS của bạn chỉ định rằng giao diện đến phải là eth1và địa chỉ IP đích phải giải quyết ns.node1.com. Bạn nên kiểm tra xem các truy vấn DNS đến ns.node1.comcó thể đến qua eth1giao diện mạng hay không.

Một khả năng khác là bạn có một bộ lọc gói khác ở đâu đó giữa máy khách thử nghiệm và máy chủ của bạn đang chặn các gói DNS.

Steven thứ hai
nguồn
Cảm ơn, tôi sẽ xem xét điều này. Cổng không khóa khi tôi dừng iptables, quy tắc bộ lọc gói phía trên máy chủ của tôi gây ra sự cố.
Tom
Sau khi xóa tất cả các quy tắc tường lửa ngoại trừ iptables -A INPUT -i eth1 -j CHẤP NHẬN cổng vẫn bị chặn. Khi tôi dừng iptables nó mở. Có ý tưởng nào bây giờ không?
Tom
@Tom: Rõ ràng, các gói thử nghiệm của bạn không tuân theo quy tắc ACCEPT, nếu không cổng sẽ không bị chặn. Kết luận rất có thể là các gói thử nghiệm của bạn không đến eth1. Bạn có chắc chắn đó eth1là nơi họ nên đến?
Steven Thứ Hai
Tôi không chắc chắn, nhưng tôi sẽ giải thích thiết lập của mình - eth0 có IP riêng và eth1 có IP chính, eth1: 0 là máy chủ tên (và đích đến mong muốn cho các gói) và eth1: 1 là cho nginx. 2 máy chủ khác của tôi có giao diện và bí danh giao diện giống hệt nhau. Sự khác biệt duy nhất tôi có thể nghĩ đến là eth1: 0 trên 2 máy chủ khác là dành cho máy chủ tên nô lệ và eth1: 0 trên máy chủ này là dành cho máy chủ tên chính. Điều đó có cung cấp cái nhìn sâu sắc nào không? Đánh giá cao sự giúp đỡ của bạn - điều này thực sự đang giết chết tôi.
Tom
Tôi nên đề cập, tôi đã luôn có các quy tắc chuẩn này trong tập lệnh bash trước và sau các quy tắc để kiểm soát các dịch vụ: iptables -F; iptables -Z; iptables -A INPUT -i lo -j CHẤP NHẬN; iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j CHẤP NHẬN; iptables -A INPUT -m state --state THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN; ## quy tắc để kiểm soát dịch vụ tại đây ## iptables -P OUTPUT ACCEPT; iptables -P INPUT DROP; iptables -P FORWARD DROP;
Tom
3

Có khả năng cổng tcp bị chặn bởi tường lửa khác. Sử dụng tcpdump / Wireshark để gỡ lỗi.

Từ tôi:

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available
ooshro
nguồn
1
Khi tôi dừng iptables, cổng sẽ mở.
Tom
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.