Centos iptables mở cổng 53

8

Tôi gặp sự cố khi mở cổng 53 trên máy centos của mình, để cấu hình DNS.

Đây là cấu hình iptables của tôi

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

Khi tôi chạy quét nmap của máy, chỉ có cổng 80 hiển thị là mở trên đó. Tôi có thiếu thứ gì không?

BIÊN TẬP:

Toàn bộ trống

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
centos  iptables  firewall 
người dùng1817081
nguồn
Là những gì nmapdòng lệnh bạn sử dụng?
Hauke ​​Laging
nmap 192.168.1.2
user1817081
1
có thể bạn đã có một DROP trước đó. -A thêm các quy tắc này vào cuối chuỗi.
Laurentiu Roescu
An iptables --listsẽ có ích để xem. Bạn cũng sẽ muốn tắt tường lửa trong system-config-firewall-tui(hoặc trong gui của mình), để bạn có thể tự đặt nó bằng các lệnh iptables, nếu không, nó sẽ viết lại iptables của bạn nếu bạn sử dụng nó. Tiền thưởng, tính bằng centos (ít nhất) bạn có thể thực hiện service iptables savekhi bạn hoàn thành, do đó, các thay đổi sẽ được áp dụng cho lần khởi động lại tiếp theo.
dougBTV
2
Bạn chỉ cho phép UDP nhưng nmap không kiểm tra các cổng UDP theo mặc định. Bạn cần điều này:nmap -sU -p 53 $host
Hauke ​​Laging

Câu trả lời:

12

Ngữ nghĩa của bạn được đảo ngược.

Các quy tắc bạn được đăng cho phép đi kết nối DNS đến một máy chủ DNS từ xa, không đến các kết nối đến một máy chủ DNS địa phương.

Để cho phép kết nối với máy chủ DNS cục bộ của bạn, hãy đảo ngược quy tắc INPUT và OUTPUT:

-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

(Và vui lòng dành vài phút tại một số điểm để sửa đổi tường lửa của bạn thành trạng thái.)

Michael Hampton
nguồn
2
Bạn cũng có thể muốn tùy chọn cho phép kết nối TCP nếu thực hiện AFXR hoặc chuyển DNS khác.
jeffatrackaid
Không chặn truy vấn TCP trên máy chủ DNS. Một số phản hồi, như www.google.com sẽ không phù hợp với gói UDP và cần được lặp lại bởi TCP. TCP không chỉ dành cho chuyển DNS - nó được yêu cầu cho các truy vấn thông thường.
Tometzky
3

Sử dụng -Ithay vì -A.

Khi bạn có máy chủ DNS lắng nghe thì nó sẽ lắng nghe trên cổng 53, vì vậy quy tắc nhập phải là 

-I INPUT -p udp -m udp --dport 53 -j ACCEPT
Iain
nguồn
0

Bạn có chắc máy chủ DNS đang hoạt động? Ngay cả khi bạn mở cổng, dịch vụ vẫn cần được kích hoạt. Bạn có thể xác minh những gì đang nghe cục bộ bằng cách chạy lệnh netstat. Ngoài ra, bạn đã thử tắt hoàn toàn tường lửa trong giây lát chỉ để xem những gì hiển thị?

Eric
nguồn
Có, tôi chắc chắn rằng DNS đang chạy. Nếu tôi bật iptables và chạy nmap trên máy khác, cổng sẽ được hiển thị là mở.
user1817081
Bạn có thể gửi cấu hình iptables đầy đủ của bạn?
Eric
đăng cập nhật xem ở trên
user1817081
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.