iptables 阻止 DNS

tag-icon tag-icon linux domain-name-system firewall iptables
iptables 阻止 DNS

我已经在防火墙配置上解除了对端口 53 的阻止,但是防火墙仍然阻止了我的 DNS 查找。

我知道 DNS 查找正在工作,因为如果我将默认输入策略更改为接受,那么名称解析就会正确完成。

这是 iptables 脚本

Generated by iptables-save v1.3.5 on Fri Dec  3 12:23:49 2010
*filter
:INPUT DROP [41:3304]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [558:59294]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 20 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 172.16.0.4 -j DROP
-A OUTPUT -s 172.16.0.136 -j DROP
-A OUTPUT -s 172.16.0.135 -j DROP
COMMIT
# Completed on Fri Dec  3 12:23:49 2010 <code>

iptables -L 产生

[root@saas-dev-dcpc ~]# iptables -L
 Chain INPUT (policy DROP)
 target     prot opt source               destination
 ACCEPT     tcp  --  anywhere             anywhere            tcp spts:1024:65535 dpt:ssh
 ACCEPT     tcp  --  172.16.0.134         anywhere            tcp spts:1024:65535 dpt:http
 ACCEPT     tcp  --  172.16.0.134         anywhere            tcp spts:1024:65535 dpt:https
 ACCEPT     tcp  --  172.16.0.134         anywhere            tcp spts:1024:65535 dpt:ftp-data
 ACCEPT     tcp  --  172.16.0.134         anywhere            tcp spts:1024:65535 dpt:ftp
 ACCEPT     icmp --  anywhere             anywhere            icmp any
 ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:mdns
 ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
 ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain

 Chain FORWARD (policy ACCEPT)
 target     prot opt source               destination

 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination
 DROP       all  --  172.16.0.4           anywher
 DROP       all  --  172.16.0.136         anywhere
 DROP       all  --  172.16.0.135         anywhere

 Chain RH-Firewall-1-INPUT (0 references)
 target     prot opt source               destination

答案1

思考如果您向所有链添加规则,这个问题就会得到解决-m state --state RELATED,ESTABLISHED -j ACCEPT。看起来您可能只允许单向 DNS 流量。

或者,也尝试一下规则--sport 53

答案2

因此,即使您有明确iptables规则应接受传入端口 53 的 UDP 和 TCP 数据包,您的 DNS 数据包仍被 INPUT 链的 DROP 策略阻止。这很奇怪。要获取有关问题所在的更多信息,请在规则集末尾添加一条 LOG 规则iptables,如下所示:

iptables -A INPUT -j LOG

进行一些 DNS 查询,看看系统日志文件(可能是/var/log/syslog和/或/var/log/messages)中显示了什么(如果有的话)。如果传入的 DNS 查询数据包被丢弃,则上述规则会记录它们。

如果日志中没有显示任何内容,则可能是其他问题导致您的 DNS 服务器无法响应。由于对您的系统一无所知,我不会冒险猜测,但我确实注意到您没有将环回适配器排除在 INPUT 过滤之外。

尝试将以下内容添加到规则集的顶部:

-A INPUT -i lo -j ACCEPT

即使这不能解决您的问题,无论如何,包含这条规则可能都是一个好主意,因为有些程序依赖于功能正常的环回适配器才能正常工作。

相关内容