Centos iptables abren el puerto 53

Tengo problemas para abrir el puerto 53 en mi máquina centos, para la configuración de DNS.

Aquí está mi configuración de iptables

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

Cuando ejecuté un escaneo nmap de la máquina, solo el puerto 80 apareció como abierto en él. ¿Me estoy perdiendo algo?

EDITAR:

Iptable completo

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT

centos iptables firewall usuario1817081
fuente

¿Cuál fue la nmaplínea de comando que usaste?

Hauke Laging

nmap 192.168.1.2

user1817081

tal vez tienes una GOTA antes. -A agregue estas reglas al final de las cadenas.

Laurentiu Roescu

Una iptables --listsería útil para ver. También querrá deshabilitar el firewall en system-config-firewall-tui(o en su interfaz gráfica de usuario), para que pueda configurarlo manualmente con los comandos de iptables, de lo contrario, volverá a escribir sus iptables si lo usa. Consejo de bonificación, en centos (al menos) puede hacer una service iptables savevez que haya terminado, por lo que los cambios se mantendrán para el próximo reinicio.

dougBTV

Solo permite UDP, pero nmap no prueba los puertos UDP de forma predeterminada. Necesitas esto:nmap -sU -p 53 $host

Hauke Laging

Respuestas:

Su semántica se invierte.

Las reglas que publicó permiten conexiones DNS salientes a un servidor DNS remoto, no conexiones entrantes a un servidor DNS local.

Para permitir conexiones a su servidor DNS local, invierta las reglas INPUT y OUTPUT:

-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

(Y tómese unos minutos en algún momento para revisar su firewall para que tenga estado).

Michael Hampton
fuente

Es posible que también desee permitir conexiones TCP si realiza AFXR u otras transferencias de DNS.

jeffatrackaid

No bloquee las consultas TCP en el servidor DNS. Algunas respuestas, como www.google.com, no caben en el paquete UDP y deben ser repetidas por TCP. TCP no es solo para transferencias DNS, es necesario para consultas normales.

Tometzky

Usar en -Ilugar de -A.

Como tiene un servidor DNS escuchando, escuchará en el puerto 53, por lo que la regla de entrada debe ser

-I INPUT -p udp -m udp --dport 53 -j ACCEPT

Iain
fuente

¿Estás seguro de que el servidor DNS se está ejecutando activamente? Incluso si tiene el puerto abierto, el servicio debe estar activo. Puede verificar lo que está escuchando localmente ejecutando un comando netstat. Además, ¿ha intentado apagar completamente el firewall momentáneamente solo para ver qué aparece?

Eric
fuente

Sí, estoy seguro de que el DNS se está ejecutando. Si apago las iptables y ejecuto nmap en mi otra máquina, el puerto se muestra como abierto.

user1817081

¿Puedes publicar tu configuración completa de iptables?

Eric

ver actualización ver arriba

usuario1817081