Я разблокировал порт 53 в конфигурации моего брандмауэра, но все же мой брандмауэр блокирует мой поиск DNS.
Я знаю, что поиск DNS работает, потому что, если я изменю свою политику INPUT по умолчанию на ACCEPT, тогда разрешение имени будет выполнено правильно.
Это скрипт iptables
Generated by iptables-save v1.3.5 on Fri Dec 3 12:23:49 2010
*filter
:INPUT DROP [41:3304]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [558:59294]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 20 -j ACCEPT
-A INPUT -s 172.16.0.134 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 172.16.0.4 -j DROP
-A OUTPUT -s 172.16.0.136 -j DROP
-A OUTPUT -s 172.16.0.135 -j DROP
COMMIT
# Completed on Fri Dec 3 12:23:49 2010 <code>
iptables -L дает
[root@saas-dev-dcpc ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ssh
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:http
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:https
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:ftp-data
ACCEPT tcp -- 172.16.0.134 anywhere tcp spts:1024:65535 dpt:ftp
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 172.16.0.4 anywher
DROP all -- 172.16.0.136 anywhere
DROP all -- 172.16.0.135 anywhere
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
я считать это будет решено, если вы добавите -m state --state RELATED,ESTABLISHED -j ACCEPT Правило для всех цепей. Похоже, вы разрешаете трафик DNS только в одном направлении.
Или попробуйте правила с --sport 53 слишком.
Таким образом, ваши DNS-пакеты блокируются политикой DROP цепочки INPUT, даже если у вас явно есть iptables правила, которые должны ПРИНЯТЬ входящие пакеты UDP и TCP на порт 53. Это странно. Чтобы получить больше подсказок о том, что происходит не так, добавьте правило LOG в конец вашего iptables набор правил, как показано ниже:
iptables -A INPUT -j LOG
Сделайте несколько DNS-запросов и посмотрите, что (если есть) отображается в файлах системного журнала (возможно, /var/log/syslog и / или /var/log/messages). Если входящие пакеты запросов DNS отбрасываются, они будут зарегистрированы в соответствии с указанным выше правилом.
Если в журналах ничего не отображается, значит, что-то еще не так, что мешает вашему DNS-серверу отвечать. Не зная ничего о вашей системе, я не буду рисковать многими догадками, но замечу, что вы не исключили адаптер обратной петли из фильтрации INPUT.
Попробуйте добавить в свой набор правил следующее:
-A INPUT -i lo -j ACCEPT
Даже если это не решит вашу проблему, вероятно, было бы неплохо включить это правило в любом случае, поскольку некоторые программы зависят от исправного адаптера обратной связи для правильной работы.