Centos iptables abren el puerto 53

8

Tengo problemas para abrir el puerto 53 en mi máquina centos, para la configuración de DNS.

Aquí está mi configuración de iptables

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

Cuando ejecuté un escaneo nmap de la máquina, solo el puerto 80 apareció como abierto en él. ¿Me estoy perdiendo algo?

EDITAR:

Iptable completo

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
centos  iptables  firewall 
usuario1817081
fuente
¿Cuál fue la nmaplínea de comando que usaste?
Hauke ​​Laging
nmap 192.168.1.2
user1817081
1
tal vez tienes una GOTA antes. -A agregue estas reglas al final de las cadenas.
Laurentiu Roescu
Una iptables --listsería útil para ver. También querrá deshabilitar el firewall en system-config-firewall-tui(o en su interfaz gráfica de usuario), para que pueda configurarlo manualmente con los comandos de iptables, de lo contrario, volverá a escribir sus iptables si lo usa. Consejo de bonificación, en centos (al menos) puede hacer una service iptables savevez que haya terminado, por lo que los cambios se mantendrán para el próximo reinicio.
dougBTV
2
Solo permite UDP, pero nmap no prueba los puertos UDP de forma predeterminada. Necesitas esto:nmap -sU -p 53 $host
Hauke ​​Laging

Respuestas:

12

Su semántica se invierte.

Las reglas que publicó permiten conexiones DNS salientes a un servidor DNS remoto, no conexiones entrantes a un servidor DNS local.

Para permitir conexiones a su servidor DNS local, invierta las reglas INPUT y OUTPUT:

-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

(Y tómese unos minutos en algún momento para revisar su firewall para que tenga estado).

Michael Hampton
fuente
2
Es posible que también desee permitir conexiones TCP si realiza AFXR u otras transferencias de DNS.
jeffatrackaid
No bloquee las consultas TCP en el servidor DNS. Algunas respuestas, como www.google.com, no caben en el paquete UDP y deben ser repetidas por TCP. TCP no es solo para transferencias DNS, es necesario para consultas normales.
Tometzky
3

Usar en -Ilugar de -A.

Como tiene un servidor DNS escuchando, escuchará en el puerto 53, por lo que la regla de entrada debe ser 

-I INPUT -p udp -m udp --dport 53 -j ACCEPT
Iain
fuente
0

¿Estás seguro de que el servidor DNS se está ejecutando activamente? Incluso si tiene el puerto abierto, el servicio debe estar activo. Puede verificar lo que está escuchando localmente ejecutando un comando netstat. Además, ¿ha intentado apagar completamente el firewall momentáneamente solo para ver qué aparece?

Eric
fuente
Sí, estoy seguro de que el DNS se está ejecutando. Si apago las iptables y ejecuto nmap en mi otra máquina, el puerto se muestra como abierto.
user1817081
¿Puedes publicar tu configuración completa de iptables?
Eric
ver actualización ver arriba
usuario1817081
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.