UFW está bloqueando DNS

10

Estoy configurando la seguridad en mi servidor. Para facilitar la administración en el firewall, instalé el UFW. Hice algunas configuraciones en el UFW y permití algunos puertos. Por lo tanto, cuando lo habilité, los servicios DNS no respondieron.

Intenté ejecutar el comando DIG www.domain.com.brpara probar el DNS pero no tuvo éxito. Este comando se ejecuta sin problemas cuando el UFW está deshabilitado. Ya permití el puerto 53 (TCP y UDP) pero el DNS no funciona.

Mi configuración de UFW:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)
diegoklapper
fuente
Publicar la salida de ufw status verbose...
jasonwryan
Aquí está la salida pastebin.com/31Asbqwb
diegoklapper
Lo intenté pero no funcionó.
diegoklapper

Respuestas:

13

La sintaxis correcta completa debe ser

sudo ufw allow out to any port 53
Nesha Zoric
fuente
11

Resolví este problema. Permití el saliente para el puerto 53 que es el puerto de servicio DNS. Gracias.

sudo ufw allow out 53
diegoklapper
fuente
4

En primer lugar, ufw allow dnspermite solicitudes DNS entrantes, que no es lo que desea.

En segundo lugar, puede seguir todos los comandos mencionados en otras respuestas (más fácilmente ufw allow out 53), pero el orden es importante . Entonces, si tiene una declaración de rechazo, que también negaría las solicitudes de DNS cuando se usa únicamente, ¡ póngala al final !

Entonces, primero permita el puerto 53 a su servidor DNS y luego, potencialmente, no permita / rechace algunas solicitudes.

rugk
fuente
2

He estado trabajando en algunas reglas de firewall para otro proyecto y no pude lograr que la solución de @ diegoklapper funcionara.

Incluso mis propios intentos de replicar sudo ufw allow dnsmás explícitamente (es decir, interfaz específica) fallaron:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

Hasta que me di cuenta de lo que estaba haciendo mal (protocolo de nota):

sudo ufw allow in on eth0 from any to any port 53 proto udp

Nota: Esto se aplica más específicamente al dnsmasqcaso en el que maneja o reenvía solicitudes DNS y donde las solicitudes salientes ya están permitidas de manera predeterminada.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
Matt Borja
fuente