Eu desbloqueei a porta 53 na configuração do meu firewall, mas meu firewall ainda está bloqueando a pesquisa do DNS.
Sei que a pesquisa do DNS está funcionando porque, se eu alterar minha política de ENTRADA padrão para ACCEPT, a resolução do nome será feita corretamente.
Este é o script iptables
Generated by iptables-save v1.3.5 on Fri Dec 3 12:23:49 2010
*filter
:INPUT DROP [41:3304]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [558:59294]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 20 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 172.16.0.4 -j DROP
-A OUTPUT -s 172.16.0.136 -j DROP
-A OUTPUT -s 172.16.0.135 -j DROP
COMMIT
# Completed on Fri Dec 3 12:23:49 2010 <code>
iptables -L rende
[root@saas-dev-dcpc ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ssh
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:http
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:https
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:ftp-data
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:ftp
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 172.16.0.4 anywher
DROP all -- 172.16.0.136 anywhere
DROP all -- 172.16.0.135 anywhere
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
Portanto, seus pacotes DNS estão sendo bloqueados pela política DROP da cadeia INPUT, mesmo que você tenha claramente as regras iptables que devem ACEITAR os pacotes UDP e TCP recebidos para a porta 53. Isso é estranho. Para obter mais dicas sobre o que está errado, adicione uma regra de LOG ao final do seu conjunto de regras iptables , da seguinte maneira:
iptables -A INPUT -j LOG
Faça algumas consultas DNS e veja o que (se houver) aparece nos arquivos de log do sistema (provavelmente /var/log/syslog e / ou /var/log/messages ). Se os pacotes de consulta DNS recebidos forem descartados, eles serão registrados pela regra acima.
Se nada aparecer nos logs, então alguma outra coisa está errada, impedindo que o seu servidor DNS responda. Sem saber nada sobre o seu sistema, não vou arriscar muitos palpites, mas noto que você não excluiu o adaptador de loopback da filtragem INPUT.
Tente adicionar o seguinte ao topo do seu conjunto de regras:
-A INPUT -i lo -j ACCEPT
Mesmo que isso não corrija seu problema, provavelmente é uma boa idéia incluir essa regra de qualquer forma, já que alguns programas dependem de um adaptador de loopback funcional para funcionar corretamente.