DNSをブロックするiptables
ファイアウォール設定でポート53のブロックを解除しましたが、それでもファイアウォールがDNSルックアップをブロックしています。
デフォルトのINPUTポリシーをACCEPTに変更すると、名前解決が正しく行われるため、DNSルックアップが機能していることがわかります。
これはiptablesスクリプトです
Generated by iptables-save v1.3.5 on Fri Dec 3 12:23:49 2010
*filter
:INPUT DROP [41:3304]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [558:59294]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 20 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 172.16.0.4 -j DROP
-A OUTPUT -s 172.16.0.136 -j DROP
-A OUTPUT -s 172.16.0.135 -j DROP
COMMIT
# Completed on Fri Dec 3 12:23:49 2010 <code>
iptables-Lは
[root@saas-dev-dcpc ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ssh
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:http
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:https
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:ftp-data
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:ftp
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 172.16.0.4 anywher
DROP all -- 172.16.0.136 anywhere
DROP all -- 172.16.0.135 anywhere
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
I thinkこれは、すべてのチェーンに-m state --state RELATED,ESTABLISHED -j ACCEPTルールを追加すると解決されます。一方向にのみDNSトラフィックを許可しているようです。
または、--sport 53を使用してルールを試してください。
したがって、DNSパケットはINPUTチェーンのDROPポリシーによってブロックされていますが、ポート53への着信UDPとTCPパケットを受け入れる必要があるiptablesルールがあることは明らかです。これは奇妙なことです。 。何が問題になっているのかについてより多くの手がかりを得るには、次のように、iptablesルールセットの最後にLOGルールを追加します。
iptables -A INPUT -j LOG
いくつかのDNSクエリを実行し、システムログファイルに何が表示されるかを確認します(おそらく/var/log/syslogおよび/または/var/log/messages)。着信DNSクエリパケットがドロップされる場合、それらは上記のルールに従ってログに記録されます。
ログに何も表示されない場合は、DNSサーバーが応答できない他の問題が発生しています。システムについて何も知らないので、多くの推測を危険にさらすことはありませんが、ループバックアダプタをINPUTフィルタリングから除外していないことに注意してください。
ルールセットの上部に次を追加してみてください。
-A INPUT -i lo -j ACCEPT
これで問題が解決しない場合でも、一部のプログラムは機能するループバックアダプターに依存して正しく動作するため、とにかくこのルールを含めることをお勧めします。