Я готовлюсь развернуть около тысячи безвентиляторных машин под управлением Debian. Каждая машина имеет 3 интерфейса (eth0, eth1 и uap0). Во многих случаях эти машины будут находиться между кабельным модемом и домашним маршрутизатором / сетью, поэтому мне нужно быть прозрачным между eth0 и eth1. Для этого я настроил dnsmasq в надежде на маршрутизацию трафика и предоставление адресов.
Мой DNSMASQ.CONF файл довольно простой. В основном все, что я добавил, это строки:
interface = eth1
interface = uap0
no-dhcp-interface = uap0
В надежде обезопасить машину я пытаюсь заблокировать все порты, доступные на eth0. С помощью nmap -v -p1-65535 <hostname> Я вижу, что порты 22, 53, 80 и 111 отвечают на eth0. 22 и 80 я понимаю (ssh и httpd). Что меня беспокоит, так это порт 53. lsof -i :53 показывает, что там отвечает dnsmasq.
Зачем? Нужно ли мне добавлять записи iptables, чтобы заблокировать это? Будет ли работать, если я сделаю это?
Порт 53 используется для DNS. Это зависит от ваших потребностей, нужно вам это или нет.
Вы можете настроить dnsmasq для предоставления некоторого внешнего (ISP) DNS-сервера клиентам DHCP, а затем вы можете отключить ретрансляцию DNS на своем сервере. Если нет, убедитесь, что ретрансляция DNS включена только для внутренней сети.
Меня беспокоит порт 53. lsof -i: 53 показывает, что там отвечает dnsmasq.
Порт 53 - стандартный порт для DNS. Dnsmasq прослушивает здесь по умолчанию.
Вот некоторые важные части документации Dnsmasq.
Из http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
-p, --port=<port>
Listen on <port> instead of the standard DNS port (53). Setting this to zero completely disables DNS function, leaving only DHCP and/or TFTP.
Из http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq.conf.example
# Listen on this specific port instead of the standard DNS port
# (53). Setting this to zero completely disables DNS function,
# leaving only DHCP and/or TFTP.
#port=5353