Estou com problemas para abrir a porta 53 na minha máquina centos, para configuração do DNS.
Aqui está a minha configuração do iptables
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
Quando executei uma varredura nmap da máquina, apenas a porta 80 apareceu como aberta nela. Estou faltando alguma coisa?
EDITAR:
Iptable completo
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
nmap
linha de comando que você usou?iptables --list
seria útil para ver. Você também deseja desativar o firewallsystem-config-firewall-tui
(ou na sua GUI), para que você possa configurá-lo manualmente com os comandos iptables; caso contrário, ele reescreverá o iptables se você o usar. Dica de bônus: em centos (pelo menos), você pode fazer umservice iptables save
quando terminar, para que as alterações permaneçam na próxima reinicialização.nmap -sU -p 53 $host
Respostas:
Sua semântica é invertida.
As regras que você postou permitem conexões DNS de saída para um servidor DNS remoto, não conexões de entrada para um servidor DNS local.
Para permitir conexões com o servidor DNS local, inverta as regras INPUT e OUTPUT:
(E dedique alguns minutos em algum momento para revisar seu firewall para que fique estável).
fonte
Use em
-I
vez de-A
.Como você tem um servidor DNS atendendo, ele estará atendendo na porta 53, portanto a regra de entrada deve ser
fonte
Você tem certeza de que o servidor DNS está executando ativamente? Mesmo se você tiver a porta aberta, o serviço precisa estar ativo. Você pode verificar o que está ouvindo localmente executando um comando netstat. Além disso, você já tentou desligar completamente o firewall momentaneamente apenas para ver o que aparece?
fonte