Firewall masih memblokir port 53 meskipun ada daftar sebaliknya?

8

Saya memiliki 3 simpul dengan aturan iptables yang hampir sama yang dimuat dari skrip bash, tetapi satu simpul tertentu memblokir lalu lintas di port 53 meskipun daftar itu menerimanya:

$ iptables --list -v

Chain INPUT (paket DROP 8886 kebijakan, 657K byte)
 pkts byte target prot opt ​​in out sumber tujuan         
    0 0 MENERIMA semua - lihat semua tempat di mana saja            
    2 122 ACCEPT icmp - apa saja di mana saja di mana saja icmp-echo-request 
20738 5600K MENERIMA semua - apa saja di mana saja di mana pun negara TERKAIT, DIDIRIKAN 
    0 0 ACCEPT tcp - eth1 sembarang tempat node1.com multiport dports http, smtp 
    0 0 MENERIMA udp - eth1 di mana saja ns.node1.com udp dpt: domain 
    0 0 MENERIMA tcp - eth1 di mana saja ns.node1.com tcp dpt: domain 
    0 0 MENERIMA semua - eth0 sembarang simpul2.kembali ke mana saja            
   21 1260 MENERIMA semua - eth0 sembarang simpul3.kembali ke mana saja            
    0 0 MENERIMA semua - eth0 sembarang simpul4.kembali ke mana saja            

Chain FORWARD (paket DROP 0 kebijakan, 0 byte)
 pkts byte target prot opt ​​in out sumber tujuan         

Chain OUTPUT (paket ACCEPT 15804 kebijakan, 26M byte)
 pkts byte target prot opt ​​in out sumber tujuan

nmap -sV -p 53 ns.node1.com // Dari server jarak jauh

Mulai Nmap 4.11 (http://www.insecure.org/nmap/) di 2011-02-24 11:44 EST
Port yang menarik di ns.node1.com (1.2.3.4):
VERSI LAYANAN NEGARA PELABUHAN
53 / tcp domain yang difilter

Nmap selesai: 1 alamat IP (1 host up) dipindai dalam 0,336 detik

Ada ide?

Terima kasih

domain-name-system firewall iptables Tom
sumber

Jawaban:

3

Saya perhatikan bahwa tidak ada paket yang benar-benar mencapai iptablesaturan ACCEPT Anda untuk DNS. Saya pikir kemungkinan iptablesaturan Anda menentukan kombinasi kondisi yang tidak konsisten yang tidak pernah cocok dengan kueri DNS yang masuk.

Dalam kasus Anda, aturan DNS ACCEPT Anda menentukan bahwa antarmuka yang masuk harus eth1, dan alamat IP tujuan harus diselesaikan ns.node1.com. Anda harus memeriksa apakah permintaan DNS yang masuk ns.node1.comdapat datang melalui eth1antarmuka jaringan.

Kemungkinan lain adalah Anda memiliki filter paket lain di suatu tempat antara klien pengujian Anda dan server Anda yang memblokir paket DNS.

Steven Monday
sumber
Terima kasih, saya akan melihat ini. Port terbuka ketika saya menghentikan iptables, yang mengesampingkan filter paket di atas server saya yang menyebabkan masalah.
Tom
Setelah menghapus semua aturan firewall kecuali iptables -A INPUT -i eth1 -j ACCEPT port tersebut masih diblokir. Ketika saya berhenti iptables terbuka. Ada ide sekarang?
Tom
@ Tom: Jelas, paket pengujian Anda tidak melanggar aturan ACCEPT, jika tidak port tidak akan diblokir. Kesimpulan yang paling mungkin adalah bahwa paket pengujian Anda tidak tiba eth1. Apakah Anda yakin di eth1situlah mereka seharusnya tiba?
Steven Monday
Saya tidak yakin, tetapi saya akan menjelaskan pengaturan saya - eth0 memiliki IP pribadi dan eth1 memiliki IP utama, eth1: 0 adalah nameserver (dan tujuan yang diinginkan untuk paket) dan eth1: 1 adalah untuk nginx. 2 server saya yang lain memiliki antarmuka dan alias antarmuka yang identik. Satu-satunya perbedaan yang dapat saya pikirkan adalah eth1: 0 pada 2 server lainnya adalah untuk server nama budak dan eth1: 0 pada server ini adalah untuk server nama master. Apakah itu memberikan wawasan? Hargai bantuan Anda - ini benar-benar membunuh saya.
Tom
Saya harus menyebutkan, saya selalu memiliki aturan standar ini dalam skrip bash sebelum dan sesudah aturan untuk mengontrol layanan: iptables -F; iptables -Z; iptables -A INPUT -i lo -j MENERIMA; iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT; iptables -A INPUT -m state --start ESTABLISHED, RELATED -j ACCEPT; ## aturan untuk mengontrol layanan di sini ## iptables -P OUTPUT ACCEPT; iptables -P DRP INPUT; iptables-P DRW FORWARD;
Tom
3

Kemungkinan port tcp diblokir oleh firewall lain. Gunakan tcpdump / Wireshark untuk debug masalah.

Dari saya:

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available
ooshro
sumber
1
Ketika saya menghentikan iptables, port menjadi terbuka.
Tom