Não é possível acessar o servidor DNS BIND por trás do iptables

Question

Não é possível acessar o servidor DNS BIND por trás do iptables

Navegue suas respostas

#1 resposta do (2 votos)
#2 resposta do (2 votos)

1

Esta linha está no iptables

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT

Preciso de algo mais do que a porta 53? ele responde usando telnet, mas o nslookup fornece um tempo limite.

iptables bind domain-name-system

por Doppelganger 14.07.2011 / 01:28

2 respostas

2

O DNS é executado no UDP 53 e não no tcp 53 para alterar a regra do iptables para:

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT

por 14.07.2011 / 01:30

Tags iptables bind domain-name-system

Não é possível receber pacotes UDP de um endereço local de link [closed] bloqueio de E / S KVM / QEmu / Libvirt

score 2 · Accepted Answer

Conforme mencionado, consulte o link . Para suportar adequadamente o DNS, você precisa permitir a porta 53 para TCP e UDP. Não fazer isso resultará em uma fragmentação de pacotes muito maior, particularmente com a introdução do IPv6 e DNSSEC (observe que todas as versões do BIND desde 9.2 indicarão que ele suporta DNSSEC, mesmo que você não tenha configurado DNSSEC (a menos que você compile)) . Isso é particularmente ruim quando as pessoas filtram fragmentos.