我准备部署大约一千台运行 Debian 的无风扇机器。每台机器有 3 个接口(eth0、eth1 和 uap0)。在许多情况下,这些机器将位于有线调制解调器和家庭路由器/网络之间,因此我需要在 eth0 和 eth1 之间保持透明。为此,我设置了域名系统希望能够路由流量并提供地址。
我的DNSMASQ.CONF文件相当简单。我主要添加以下几行:
接口=eth1
接口=uap0
无 dhcp 接口=uap0
为了确保机器的安全,我尝试锁定 eth0 上的所有可用端口。使用时,nmap -v -p1-65535 <hostname>我看到端口 22、53、80 和 111 正在 eth0 上应答。我理解的是 22 和 80(ssh 和 httpd)。我担心的是端口 53。lsof -i :53显示 dnsmasq 正在那里应答。
为什么?我需要添加 iptables 条目来阻止此行为吗?如果我这样做,它还能正常工作吗?
答案1
端口 53 用于 DNS。是否需要它取决于您的需求。
您可以配置 dnsmasq 以向 DHCP 客户端提供一些外部(ISP)DNS 服务器,然后您可以在您的机器上禁用 DNS 中继。如果不行,请确保仅为内部网络启用 DNS 中继。
答案2
我关心的是端口 53。lsof -i :53 显示 dnsmasq 正在那里应答。
端口 53 是 DNS 的标准端口。Dnsmasq 默认在此监听。
以下是 Dnsmasq 文档中的一些相关部分。
从http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
-p, --port=<port>
Listen on <port> instead of the standard DNS port (53). Setting this to zero completely disables DNS function, leaving only DHCP and/or TFTP.
从http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq.conf.example
# Listen on this specific port instead of the standard DNS port
# (53). Setting this to zero completely disables DNS function,
# leaving only DHCP and/or TFTP.
#port=5353