Author Topic: IPtables -P DROP и DNS (Read 4664 times)

Noname2007 · « **on:** February 27, 2009, 23:04:14 »

Есть такая проблема, что при установки для цепочки INPUT (таблица filter) правила по умолчанию "DROP" перестает работать разрешение доменных имен, хотя 53 tcp и udp порты открыты. Заранее благодарю за помощь.

DrDeath · « **Reply #1 on:** February 27, 2009, 23:50:04 »

предположу, что стоит разрешить как OUTPUT dport 53/udp, так и INPUT sport 53/udp

Noname2007 · « **Reply #2 on:** February 28, 2009, 08:50:47 »

Quote from: DrDeath

предположу, что стоит разрешить как OUTPUT dport 53/udp, так и INPUT sport 53/udp

у меня OUTPUT -P ACCEPT, а после второго правила DNS действительно начинает работать, но исходящие соединения все равно не работают.

never hood · « **Reply #3 on:** February 28, 2009, 09:48:03 »

iptables -L -nvx в студию или дальше телепатией будем заниматься?

Noname2007 · « **Reply #4 on:** February 28, 2009, 09:54:53 »

[div class=\'codetop\']CODE[div class=\'codemain\' style=\'height:200px;white-space:pre;overflow:auto\']Chain INPUT (policy ACCEPT 486334 packets, 563411433 bytes)
   pkts    bytes target    prot opt in    out    source          destination
    0      0 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpt:3130
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:4827
    13    1379 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:445
    9    520 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:139
    0      0 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpt:123
    803 175683 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpt:138
   6134 485670 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpt:137
    12    590 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:3128
    148    6846 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:21
    9    384 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:20
    0      0 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpt:53
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:53
    7    390 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:8080
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:3306
    22    3823 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpts:33000:33199
    44    4416 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpts:33000:33199
    0      0 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpt:177
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpts:6000:6019
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:7100
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:3389
    0      0 ACCEPT    udp -- eth1 *    0.0.0.0/0         0.0.0.0/0       udp dpts:28888:29999
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:20000
    0      0 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:10000
    12    548 ACCEPT    tcp -- eth1 *    0.0.0.0/0         0.0.0.0/0       tcp dpt:113
   1086 211583 ACCEPT    udp -- eth1 *    212.192.123.18    0.0.0.0/0       udp spt:53
   1119 209685 ACCEPT    udp -- eth1 *    88.204.72.102      0.0.0.0/0       udp spt:53
13374 4359827 ACCEPT    0   -- tap0 *    0.0.0.0/0         0.0.0.0/0
240676 13991231 ACCEPT    0   -- lnet0 *    0.0.0.0/0         0.0.0.0/0
   2679 251013 ACCEPT    0   -- lo    *    0.0.0.0/0         0.0.0.0/0
    0      0 DROP    tcp -- *    *    0.0.0.0/0         0.0.0.0/0       tcp flags:!0x17/0x02 state NEW
    0      0 REJECT    tcp -- *    *    0.0.0.0/0         0.0.0.0/0       tcp flags:0x12/0x12 state NEW reject-with tcp-reset
    0      0 DROP    tcp -- *    *    0.0.0.0/0         0.0.0.0/0       tcp option=!2 flags:0x02/0x02
    440   21705 ACCEPT    icmp -- *    *    0.0.0.0/0         0.0.0.0/0
    0      0 DROP    icmp -f *    *    0.0.0.0/0         0.0.0.0/0
   1967   89496 DROP    0   -- *    *    0.0.0.0/0         0.0.0.0/0       state INVALID

Chain FORWARD (policy DROP 23 packets, 3460 bytes)
   pkts    bytes target    prot opt in    out    source          destination
290868 20357033 ACCEPT    0   -- *    lnet0 0.0.0.0/0         0.0.0.0/0
378031 359422626 ACCEPT    0   -- lnet0 *    0.0.0.0/0         0.0.0.0/0
    0      0 DROP    0   -- *    *    0.0.0.0/0         0.0.0.0/0       state INVALID

Chain OUTPUT (policy ACCEPT 948859 packets, 644981668 bytes)
   pkts    bytes target    prot opt in    out    source          destination
    60    3950 DROP    0   -- *    *    0.0.0.0/0         0.0.0.0/0       state INVALID

never hood · « **Reply #5 on:** March 01, 2009, 10:52:59 »

вместо того, чтобы так жестоко дырявить защиту, используйте
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
одним из первых правил на входе.

Noname2007 · « **Reply #6 on:** March 01, 2009, 23:49:46 »

Quote from: never hood

вместо того, чтобы так жестоко дырявить защиту, используйте
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
одним из первых правил на входе.

thx, помогло.

Tomsk Sysadmins Forum

News:

Author Topic: IPtables -P DROP и DNS (Read 4664 times)

Noname2007

IPtables -P DROP и DNS

DrDeath

IPtables -P DROP и DNS

Noname2007

IPtables -P DROP и DNS

never hood

IPtables -P DROP и DNS

Noname2007

IPtables -P DROP и DNS

never hood

IPtables -P DROP и DNS

Noname2007

IPtables -P DROP и DNS