Tomsk Sysadmins Forum
Unix => Администрирование => Topic started by: Noname2007 on February 27, 2009, 23:04:14
-
Есть такая проблема, что при установки для цепочки INPUT (таблица filter) правила по умолчанию "DROP" перестает работать разрешение доменных имен, хотя 53 tcp и udp порты открыты. Заранее благодарю за помощь.
-
предположу, что стоит разрешить как OUTPUT dport 53/udp, так и INPUT sport 53/udp
-
предположу, что стоит разрешить как OUTPUT dport 53/udp, так и INPUT sport 53/udp
у меня OUTPUT -P ACCEPT, а после второго правила DNS действительно начинает работать, но исходящие соединения все равно не работают.
-
iptables -L -nvx в студию или дальше телепатией будем заниматься?
-
[div class=\'codetop\']CODE[div class=\'codemain\' style=\'height:200px;white-space:pre;overflow:auto\']Chain INPUT (policy ACCEPT 486334 packets, 563411433 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3130
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4827
13 1379 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
9 520 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
803 175683 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
6134 485670 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
12 590 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
148 6846 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
9 384 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
7 390 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
22 3823 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpts:33000:33199
44 4416 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:33000:33199
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:177
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6000:6019
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7100
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpts:28888:29999
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20000
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
12 548 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
1086 211583 ACCEPT udp -- eth1 * 212.192.123.18 0.0.0.0/0 udp spt:53
1119 209685 ACCEPT udp -- eth1 * 88.204.72.102 0.0.0.0/0 udp spt:53
13374 4359827 ACCEPT 0 -- tap0 * 0.0.0.0/0 0.0.0.0/0
240676 13991231 ACCEPT 0 -- lnet0 * 0.0.0.0/0 0.0.0.0/0
2679 251013 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp option=!2 flags:0x02/0x02
440 21705 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP icmp -f * * 0.0.0.0/0 0.0.0.0/0
1967 89496 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
Chain FORWARD (policy DROP 23 packets, 3460 bytes)
pkts bytes target prot opt in out source destination
290868 20357033 ACCEPT 0 -- * lnet0 0.0.0.0/0 0.0.0.0/0
378031 359422626 ACCEPT 0 -- lnet0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
Chain OUTPUT (policy ACCEPT 948859 packets, 644981668 bytes)
pkts bytes target prot opt in out source destination
60 3950 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
-
вместо того, чтобы так жестоко дырявить защиту, используйте
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
одним из первых правил на входе.
-
вместо того, чтобы так жестоко дырявить защиту, используйте
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
одним из первых правил на входе.
thx, помогло.