Firewall ainda bloqueando a porta 53 apesar da listagem em contrário?

Question

Firewall ainda bloqueando a porta 53 apesar da listagem em contrário?

#1 resposta do (3 votos)
#2 resposta do (3 votos)

7

Eu tenho 3 nós com praticamente as mesmas regras do iptables carregadas de um script bash, mas um nó em particular está bloqueando o tráfego na porta 53, apesar da listagem estar sendo aceita:

$ iptables --list -v

Chain INPUT (policy DROP 8886 packets, 657K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    2   122 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request 
20738 5600K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth1   any     anywhere             node1.com multiport dports http,smtp 
    0     0 ACCEPT     udp  --  eth1   any     anywhere             ns.node1.com udp dpt:domain 
    0     0 ACCEPT     tcp  --  eth1   any     anywhere             ns.node1.com tcp dpt:domain 
    0     0 ACCEPT     all  --  eth0   any     node2.backend        anywhere            
   21  1260 ACCEPT     all  --  eth0   any     node3.backend        anywhere            
    0     0 ACCEPT     all  --  eth0   any     node4.backend        anywhere            

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 15804 packets, 26M bytes)
 pkts bytes target     prot opt in     out     source               destination

nmap -sV -p 53 ns.node1.com // Do servidor remoto

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-02-24 11:44 EST
Interesting ports on ns.node1.com (1.2.3.4):
PORT   STATE    SERVICE VERSION
53/tcp filtered domain

Nmap finished: 1 IP address (1 host up) scanned in 0.336 seconds

Alguma idéia?

Obrigado

iptables firewall domain-name-system

por Tom 24.02.2011 / 21:55

2 respostas

3

Provavelmente a porta tcp está bloqueada por outro firewall. Use o tcpdump / Wireshark para depurar o problema.

De mim:

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available

por 24.02.2011 / 22:35

Tags iptables firewall domain-name-system

Ruby para administração de sistemas Hdparm poweron_standby é perigoso?

score 3 · Accepted Answer

Noto que os pacotes zero atingiram realmente as regras iptables ACCEPT para DNS. Acho que é provável que suas regras iptables estejam especificando uma combinação inconsistente de condições que nunca correspondem às consultas DNS recebidas.

No seu caso, suas regras de ACEITAR DNS especificam que a interface de entrada deve ser eth1 e o endereço IP de destino deve ser resolvido como ns.node1.com . Você deve verificar se as consultas de entrada DNS para ns.node1.com podem chegar à interface de rede eth1 .

Outra possibilidade é que você tenha outro filtro de pacotes em algum lugar entre seu cliente de teste e seu servidor que esteja bloqueando os pacotes DNS.