Centos iptables abre a porta 53

8

Estou com problemas para abrir a porta 53 na minha máquina centos, para configuração do DNS.

Aqui está a minha configuração do iptables

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

Quando executei uma varredura nmap da máquina, apenas a porta 80 apareceu como aberta nela. Estou faltando alguma coisa?

EDITAR:

Iptable completo

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT 
user1817081
fonte
Qual foi a nmaplinha de comando que você usou?
Hauke ​​Laging
nmap 192.168.1.2
user1817081
1
talvez você tenha uma queda antes. -A Adicione essas regras no final das cadeias.
Laurentiu Roescu
Um iptables --listseria útil para ver. Você também deseja desativar o firewall system-config-firewall-tui(ou na sua GUI), para que você possa configurá-lo manualmente com os comandos iptables; caso contrário, ele reescreverá o iptables se você o usar. Dica de bônus: em centos (pelo menos), você pode fazer um service iptables savequando terminar, para que as alterações permaneçam na próxima reinicialização.
DougBTV 17/05
2
Você permite apenas UDP, mas o nmap não testa portas UDP por padrão. Você precisa disso:nmap -sU -p 53 $host
Hauke ​​Laging

Respostas:

12

Sua semântica é invertida.

As regras que você postou permitem conexões DNS de saída para um servidor DNS remoto, não conexões de entrada para um servidor DNS local.

Para permitir conexões com o servidor DNS local, inverta as regras INPUT e OUTPUT:

-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

(E dedique alguns minutos em algum momento para revisar seu firewall para que fique estável).

Michael Hampton
fonte
2
Você também pode permitir opcionalmente conexões TCP se estiver fazendo AFXR ou outras transferências DNS.
jeffatrackaid
Não bloqueie consultas TCP no servidor DNS. Algumas respostas, como www.google.com, não cabem no pacote UDP e precisam ser repetidas pelo TCP. O TCP não é apenas para transferências DNS - é necessário para consultas normais.
Tometzky
3

Use em -Ivez de -A.

Como você tem um servidor DNS atendendo, ele estará atendendo na porta 53, portanto a regra de entrada deve ser

-I INPUT -p udp -m udp --dport 53 -j ACCEPT
Iain
fonte
0

Você tem certeza de que o servidor DNS está executando ativamente? Mesmo se você tiver a porta aberta, o serviço precisa estar ativo. Você pode verificar o que está ouvindo localmente executando um comando netstat. Além disso, você já tentou desligar completamente o firewall momentaneamente apenas para ver o que aparece?

Eric
fonte
Sim, tenho certeza de que o DNS está em execução. Se eu desliguei o iptables e execute o nmap na minha outra máquina, a porta será mostrada como aberta.
User1817081
Você pode postar sua configuração completa do iptables?
21713 Eric
post update update above
user1817081