Centos iptables port terbuka 53

8

Saya mengalami masalah membuka port 53 pada mesin centos saya, untuk konfigurasi DNS.

Ini konfigurasi iptables saya

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

Ketika saya menjalankan pemindaian nmap dari mesin, hanya port 80 yang tampak terbuka di atasnya. Apakah saya kehilangan sesuatu?

EDIT:

Iptable penuh

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
centos  iptables  firewall 
pengguna1817081
sumber
Apa nmapbaris perintah yang Anda gunakan?
Hauke ​​Laging
nmap 192.168.1.2
user1817081
1
mungkin Anda memiliki DROP sebelumnya. -A menambahkan aturan ini di akhir rantai.
Laurentiu Roescu
Sebuah iptables --listakan berguna untuk melihat. Anda juga ingin menonaktifkan firewall di system-config-firewall-tui(atau di gui Anda), sehingga Anda dapat mengaturnya secara manual dengan perintah iptables, jika tidak, firewall akan menulis ulang iptables Anda jika Anda menggunakannya. Kiat bonus, dalam centos (setidaknya) yang dapat Anda lakukan service iptables saveketika selesai, sehingga perubahan tetap untuk reboot berikutnya.
dougBTV
2
Anda hanya mengizinkan UDP tetapi nmap tidak menguji port UDP secara default. Anda membutuhkan ini:nmap -sU -p 53 $host
Hauke ​​Laging

Jawaban:

12

Semantik Anda terbalik.

Aturan yang Anda posting mengizinkan koneksi DNS keluar ke server DNS jauh, bukan koneksi masuk ke server DNS lokal.

Untuk mengizinkan koneksi ke server DNS lokal Anda, balikkan aturan INPUT dan OUTPUT:

-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

(Dan tolong luangkan beberapa menit di beberapa titik untuk merevisi firewall Anda menjadi stateful.)

Michael Hampton
sumber
2
Anda mungkin juga ingin memperbolehkan koneksi TCP jika melakukan AFXR atau transfer DNS lainnya.
jeffatrackaid
Jangan memblokir permintaan TCP pada server DNS. Beberapa tanggapan, seperti www.google.com tidak akan cocok dengan paket UDP dan perlu diulangi oleh TCP. TCP tidak hanya untuk transfer DNS - itu diperlukan untuk permintaan normal.
Tometzky
3

Gunakan -Isebagai ganti -A.

Karena Anda memiliki server DNS yang mendengarkan maka itu akan mendengarkan pada port 53 sehingga aturan input seharusnya 

-I INPUT -p udp -m udp --dport 53 -j ACCEPT
Iain
sumber
0

Apakah Anda yakin server DNS aktif berjalan? Bahkan jika Anda memiliki port terbuka, layanan harus aktif. Anda dapat memverifikasi apa yang sedang mendengarkan secara lokal dengan menjalankan perintah netstat. Juga, sudahkah Anda mencoba untuk benar-benar mematikan firewall sejenak hanya untuk melihat apa yang muncul?

Eric
sumber
Ya, saya yakin bahwa DNS sedang berjalan. Jika saya mengaktifkan iptables, dan menjalankan nmap di komputer saya yang lain port ditampilkan sebagai terbuka.
user1817081
Bisakah Anda memposting konfigurasi iptables lengkap?
Eric
posting pembaruan lihat di atas
user1817081
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.