锁定应用服务器。该服务器托管通过 http 提供服务的 Web 应用。还开放了其他几个端口。
端口 53 已对 DNS 开放。我为什么需要这个?
额外:(不需要回答这个问题,但是……)这个命令是否会在 Linux 中使用 iptables 打开该端口
# iptables -A INPUT -m tcp -p tcp --dport 53 -j ACCEPT
答案1
端口 53 已对 DNS 开放。我为什么需要这个?
您需要允许 UDP 53 响应服务器发送的 DNS 查询,因为 UDP 是一种无状态协议。如果您需要任何类型的出站连接、软件更新等,请不要阻止它。
请注意,对于大多数现代操作系统中已使用 DNS 源端口随机化进行修补的名称解析软件,查询的源端口(以及响应的目标端口)不一定是 53;在这些情况下,阻止 UDP 端口 53 可能是安全的(但没有必要,除非您有一个流氓 DNS 解析器在监听)。
这个命令是否可以使用 Linux 中的 iptables 来保护该端口
除非您的服务器实际上是 DNS 服务器,否则您无需允许 TCP 53 入站。您的第二个命令有-m udp -p tcp,这没什么意义。打字错误?
答案2
如果您只使用本地网络,使用本地名称服务器,并且不连接互联网上的随机站点,则无需保持端口 53 开放。但是,如果您确实想使用互联网,则需要能够将主机名转换为 IP 地址。为此,您需要 DNS。
答案3
您何时会打开端口 53?我假设是在您托管 DNS 区域时。您是在内部运行 DNS 还是将其替换?如果您运行,那么如果您想让任何人获取记录,最好打开 53。正如您所说,您的 DNS 托管在其他地方,即使使用 Vhosts 等,也没有理由保持这些端口打开。
就 IPtables 规则而言,我不确定您所说的安全是什么意思,但它会为您打开端口。
答案4
DNS 使用 UDP 端口 53
我为什么需要这个?
如果您想将您的服务器用作 DNS 服务器(例如,您托管自己的域名)