社区
系统维护与使用区
帖子详情
iptables在使用drop的默认规则下,如何打开DNS服务
mayabin
2003-12-15 06:56:03
用iptables做了一个防火墙,默认规则是drop,
放开了42、53端口,但是有一些网站能上去,有一些上不去,
如果改成accept,就全能上去。
我觉得是dns的问题,请问DNS要想完全发挥作用,还要打开哪些端口?
或者是什么原因造成这种情况?
...全文
300
10
打赏
收藏
iptables在使用drop的默认规则下,如何打开DNS服务
用iptables做了一个防火墙,默认规则是drop, 放开了42、53端口,但是有一些网站能上去,有一些上不去, 如果改成accept,就全能上去。 我觉得是dns的问题,请问DNS要想完全发挥作用,还要打开哪些端口? 或者是什么原因造成这种情况?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
10 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
mayabin
2003-12-17
打赏
举报
回复
结贴喽,谢谢大家。
问题解决,不是dns解析的问题,而是解析后的信息让某一条连挡在外面了。
这也是我问这个问题的原因。
CoolQ
2003-12-16
打赏
举报
回复
这个未必是DNS的问题!
mayabin
2003-12-16
打赏
举报
回复
我已经打开了80,
关键是有的网站能打开,有的打不开,
肯定是在做DNS解析时,有一部分信息回不来,
如果把默认改成accept,就一点儿问题没有。
lingg2002
2003-12-16
打赏
举报
回复
你的linux是做什么用?用来做代理还是网关。
还有,你可以用nslookup查看一下,是不是上不了的网站不能解析ip地址,你对上不了的网站用ip直接访问的话可以马?这样应该可以判断是不是dns的问题了
CoolQ
2003-12-16
打赏
举报
回复
你这个人,真是的,都跟你说过不是DNS的事了。
一个解决方法就是用iptables的LOG,看看到底被DROP的包是什么样的包.
另一个方法是先全部ACCEPT,然后上原来DROP时不能上的网站,然后用netstat -na看看所有的连接情况.你要是再不会,那可就是神仙也帮不了你了。
sun1980jian
2003-12-16
打赏
举报
回复
给位高手们
怎么开端口呀
用什么命令
语法是怎么样的
mayabin
2003-12-16
打赏
举报
回复
现在问题归结在input和output链,
如果input和output用accept,全部ok,
如果改成drop,然后加上53端口的accept(input和output),
就只有部分网站能打开。
请帮忙分析一下,还有什么其他的原因导致这种情况?
chenzhangf
2003-12-15
打赏
举报
回复
dns只需要53端口,可能是其他问题。
lingg2002
2003-12-15
打赏
举报
回复
同意楼上的说法。dns只是需要打开udp和tcp的53端口。还有你的默认规则是drop,而你只是打开了42,53,你访问80端口怎么走啊。
CoolQ
2003-12-15
打赏
举报
回复
42是做什么用的?不了解。
DNS只需要TCP/UDP的53端口,网站不能上去,你确定是DNS的问题么?也就是说确定是DomainName不能转换到IP么?你可以将Drop的情况记到日至里去,看看到底是哪些访问记录被禁止了。
ansible-
iptables
:
使用
iptables
进行防火墙设置的Ansible角色
iptables
使用
iptables
配置防火墙。 该角色支持入口和出口过滤。 启用出口过滤后,将自动允许某些常用协议。 这包括: 对/etc/resolv.conf的名称
服务
器的
DNS
请求 软件包管理(Gentoo,Debian,Alpine) 要求 需要
使用
iptables
支持构建的内核。 在Debian上并且将
iptables
_output_policy设置为
DROP
,需要从
dns
utils中进行dig ,以便正确地将某些镜像(例如deb.debian.org )列入白名单。 角色变量
iptables
_input_policy 如果没有其他匹配项,则为INPUT链的
默认
策略有效值为ACCEPT (
默认
)和
DROP
。
iptables
_output_policy 如果没有其他匹配项,则为OUTPUT链的
默认
策略有效值为ACCEPT (
默认
)和
DROP
。 iptable
minimal-
iptables
:一组最小的
iptables
规则
,仅接受 HTTPS 和 SSH 作为输入
最小的
IPTABLES
防火墙 客户端配置 文件
iptables
.up.client.rules包含客户端配置的最小配置: 此配置不限于特定的网络接口 接受 输入 all on lo环回接口 允许已经建立的 tcp 和 udp 连接 icmp (ping) 请求和回复 FORWARD - 无(
默认
DROP
) OUTPUT -all(信任内部用户) 滴滴 显然,它会丢弃所有其余的东西。
服务
器配置 文件
iptables
.up.server.rules包含基本
服务
器配置的最小配置: 此配置将
规则
限制为特定网络接口eth0 接受 输入 all on lo环回接口 在eth0接口上的端口 80/443(http/https web
服务
器)和 22(ssh
服务
器)上允许新的 tcp 连接 允许已经建立的 tcp 和 udp 连接 在eth0接口上的端口 53(
DNS
服务
器)上允许新的
iptables
企业级防火墙配置(四表五链)
同时它的数据包转发的效率也非常高,据悉在一台普通硬件设备上配置
iptables
转发功能,在同时提供几百人共享上网环境下,好不逊色企业级专业路由器的转发效率。 所以
iptables
(CentOS 7.x 之后叫做 ...
DNS
主从
服务
器、
iptables
的
使用
iptables
命令可以根据流量的源地址、目的地址、传输协议、
服务
类型等信息进行匹配,一旦匹配成功,
iptables
就会根据策略
规则
所预设的动作来处理这些流量。[root@hh ~]#
iptables
-F #清空之后客户端可以访问ssh和http
服务
。// 从
DNS
服务
器的IP地址所在网段。拒绝访问SSH后,虚拟机与XSHELL断开连接了。// 主
DNS
服务
器的IP。# abc.com:主
服务
器的域名。
linux防火墙允许
dns
服务
,安全的
iptables
防火墙配置(只开通SSH,WEB,
DNS
服务
)
iptables
-F 清空所有
规则
链
iptables
-X 删除特定手工设置的链
iptables
-Z 清空计数器
iptables
-P INPUT
DROP
//
默认
INPUT
规则
丢弃
iptables
-P OUTPUT
DROP
//
默认
OUTPUT
规则
丢弃
iptables
-P FORWARD
DROP
//
默认
FORWARD
规则
丢弃
iptables
-A INPUT -d 192....
系统维护与使用区
19,612
社区成员
74,603
社区内容
发帖
与我相关
我的任务
系统维护与使用区
系统使用、管理、维护问题。可以是Ubuntu, Fedora, Unix等等
复制链接
扫一扫
分享
社区描述
系统使用、管理、维护问题。可以是Ubuntu, Fedora, Unix等等
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章