Назад | Перейти на главную страницу

Когда я открою порт 53 для DNS?

Блокировка сервера приложений. На сервере размещено веб-приложение, обслуживаемое через http. Есть еще несколько открытых портов.

Порт 53 открыт для DNS. Зачем мне это нужно?

Дополнительно: (Не нужно на это отвечать, но ...) Будет ли эта команда открывать этот порт с помощью iptables в Linux

#  iptables -A INPUT -m tcp -p tcp --dport 53 -j ACCEPT

Порт 53 открыт для DNS. Зачем мне это нужно?

Вам необходимо разрешить UDP 53 для ответов на DNS-запросы, которые отправляет ваш сервер, поскольку UDP - это протокол без отслеживания состояния. Не блокируйте его, если вам нужны какие-либо исходящие подключения, обновления программного обеспечения и т. Д.

Обратите внимание, что для программного обеспечения разрешения имен в большинстве современных операционных систем, в которое внесены исправления с рандомизацией исходного порта DNS, исходный порт запросов (и, следовательно, порт назначения ответа) не обязательно будет 53; в этих случаях, вероятно, безопасно (но не обязательно, если у вас нет мошеннического DNS-резолвера) заблокировать порт 53 UDP.

Будет ли эта команда защищать этот порт с помощью iptables в Linux?

Вам не нужно разрешать входящий трафик TCP 53, если только ваш сервер не является DNS-сервером. Ваша вторая команда -m udp -p tcp, что не имеет большого смысла .. опечатка?

Если вы используете только свою локальную сеть, используете локальный сервер имен и не подключаетесь к случайным сайтам в Интернете, вам не нужно оставлять порт 53 открытым. Но если вы действительно хотите использовать Интернет, вам необходимо иметь возможность переводить имена хостов в IP-адреса. Для этого вам понадобится DNS.

Когда бы вы открыли порт 53? Я предполагаю, когда вы размещаете DNS-зоны. Вы используете DNS для внутреннего пользования или заменяете его? Если вы бежите, то лучше иметь 53 открытых, если вы хотите, чтобы кто-нибудь получил записи. Как вы сказали, ваш DNS размещен в другом месте, нет причин держать эти порты открытыми даже с Vhosts и прочим.

Что касается правила IPtables, я не уверен, что вы имеете в виду под безопасностью, но это откроет вам порт.

Если рассматриваемый сервер приложений не является DNS-сервером, вам не требуется, чтобы порт 53 был открыт. «Открытый порт» означает, что порт виден извне для клиентов в сети (или, возможно, из Интернета). Вопреки распространенному мнению, серверу или хосту не обязательно иметь открытый порт 53 для выполнения исходящих DNS-запросов - модель TCP / IP работает не так. Вы можете запустить tcpdump на хосте, а затем выполнить поиск DNS из другого терминала или браузера, чтобы подтвердить это:

'tcpdump -n -s 1500 -i eth0 udp port 53'

Итак, чтобы ответить на ваш вопрос: вы должны открыть порт 53 только на хосте, который предлагает сети DNS-сервисы.

Не является частью вашего вопроса, но было бы желательно установить брандмауэр на всех без исключения хостах сетевых серверов. Это защищает от вторжений со стороны атак, исходящих за пределами сети, а также от вирусов / троянов и «очень умных» (но злонамеренных) пользователей внутри сети. Брандмауэр также упростил бы задачу открытия и закрытия портов, а также настройку политик доступа по вашему желанию, тем самым устраняя необходимость вручную создавать (и запоминать) сложные iptables правила.

DNS использует UDP-порт 53

Зачем мне это нужно?

Если вы хотите использовать свой сервер в качестве DNS-сервера (например, вы размещаете свои собственные домены)