Quando eu abriria o Port 53 para DNS?

5

Bloqueando um servidor de aplicativos. O servidor hospeda um aplicativo da web que é servido via http. Existem algumas outras portas abertas também.

A porta 53 está aberta para o DNS. Por que eu precisaria disso?

Extra: (Não precisa responder isso, mas ...) Esse comando abriria essa porta usando o iptables no Linux

#  iptables -A INPUT -m tcp -p tcp --dport 53 -j ACCEPT
    
por csi 21.02.2013 / 02:12

5 respostas

8

Port 53 is open for DNS. Why would I need this?

Você precisa ter o UDP 53 permitido para respostas a consultas DNS que seu servidor envia, já que o UDP é um protocolo sem estado. Não bloqueie se você quiser qualquer tipo de conectividade de saída, atualizações de software, etc.

Observe que, para o software de resolução de nomes na maioria dos sistemas operacionais modernos que foram corrigidos com randomização de porta de origem DNS, a porta de origem das consultas (e, portanto, a porta de destino da resposta) não será necessariamente 53; nesses casos, é provavelmente seguro (mas desnecessário, a menos que você tenha um resolvedor de DNS não autorizado) para bloquear a porta UDP 53.

Would this command secure that port using iptables in Linux

Você não precisa permitir a entrada TCP 53, a menos que seu servidor seja, na verdade, um servidor DNS. Seu segundo comando tem -m udp -p tcp , o que não faz muito sentido .. typo?

    
por 21.02.2013 / 02:19
3

Se usar apenas a sua rede local, usar um servidor de nomes local e não tiver conexão com sites aleatórios na Internet, não será necessário deixar a porta 53 aberta. Mas se você quiser usar a Internet, então você precisa ser capaz de traduzir nomes de host para endereços IP. Para isso você precisa de DNS.

    
por 21.02.2013 / 02:20
2

Quando você abriria a porta 53? Eu diria quando você estiver hospedando zonas DNS. Você está executando o DNS internamente ou substituindo-o? Se você correr melhor que você, abra 53 se quiser que alguém obtenha os registros. Como você disse que tem seu DNS hospedado em outro lugar, não há razão para manter essas portas abertas mesmo com Vhosts e outros.

No que diz respeito à regra do IPtables, não tenho certeza do que você quer dizer com segurança, mas isso abrirá a porta para você.

    
por 21.02.2013 / 02:18
1

O DNS usa a porta UDP 53

Why would I need this?

Se você quiser usar seu servidor como um servidor DNS (por exemplo, hospedando seus próprios domínios)

    
por 21.02.2013 / 02:18
1

Se o servidor de aplicativos em questão não for um servidor DNS, não será necessário que a porta 53 esteja aberta. Uma "porta aberta" significa que a porta é visível externamente para os clientes na rede (ou na internet, possivelmente). Ao contrário da crença popular, um servidor ou host não precisa ter a porta 53 aberta para fazer consultas DNS de saída - não é assim que o modelo TCP / IP funciona. Você pode executar o tcpdump em um host e, em seguida, emitir uma pesquisa de DNS de outro terminal ou navegador para confirmar isso:

'tcpdump -n -s 1500 -i eth0 udp port 53'

Então, para responder à sua pergunta: Você só abriria a porta 53 em um host que esteja oferecendo serviços DNS a uma rede.

Não faz parte da sua pergunta, mas seria aconselhável ter um firewall instalado em todos os hosts do servidor de rede. Isto protege contra a intrusão de ataques originados fora da rede, bem como contra vírus / trojan e usuários "muito inteligentes" (mas malignos) dentro da rede. Um firewall também simplifica a tarefa de abrir e fechar portas, bem como definir políticas de acesso como você deseja, contornando assim a necessidade de criar manualmente (e lembrar) regras complexas de iptables .

    
por 21.02.2013 / 06:18