UFW está bloqueando o DNS

10

Estou configurando a segurança no meu servidor. Para facilitar o gerenciamento no firewall, instalei o UFW. Fiz algumas configurações no UFW e permiti algumas portas. Portanto, quando eu o habilitei, os serviços DNS não estão respondendo.

Tentei executar o comando DIG www.domain.com.brpara testar o DNS, mas ele não teve êxito. Este comando é executado sem problemas quando o UFW está desativado. Eu já permiti a porta 53 (TCP e UDP), mas o DNS não funciona.

Minhas configurações de UFW:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)
linux ubuntu dns ufw diegoklapper
fonte
Postar a saída do ufw status verbose...
jasonwryan
Aqui está a saída pastebin.com/31Asbqwb
diegoklapper
Eu tentei, mas não funcionou.
Diegoklapper

Respostas:

13

A sintaxe correta completa deve ser 

sudo ufw allow out to any port 53
Nesha Zoric
fonte
11

Eu resolvi esse problema. Eu permiti a saída para a porta 53 que é a porta de serviço DNS. Obrigado.

sudo ufw allow out 53
diegoklapper
fonte
4

Em primeiro lugar, ufw allow dnspermite solicitações DNS de entrada, o que não é o que você deseja.

Em segundo lugar, você pode seguir todos os comandos mencionados em outras respostas (mais facilmente ufw allow out 53), mas a ordem é importante . Portanto, se você tiver uma declaração de negação, que também negaria solicitações de DNS quando usada apenas, coloque-a por último !

Portanto, primeiro permita a porta 53 para o servidor DNS e, posteriormente, potencialmente não permitirá / negará algumas solicitações.

rugk
fonte
2

Eu mesmo estive trabalhando em algumas regras de firewall para outro projeto e não consegui fazer a solução da @ diegoklapper funcionar.

Até minhas próprias tentativas de replicar de forma sudo ufw allow dnsmais explícita (interface específica) falharam:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

Até que eu percebi o que estava fazendo de errado (note protocol):

sudo ufw allow in on eth0 from any to any port 53 proto udp

Nota: Isso se aplica mais especificamente dnsmasqno caso em que você está manipulando ou encaminhando solicitações DNS e em que solicitações de saída já são permitidas por padrão.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
Matt Borja
fonte