URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79125
[ Назад ]

Исходное сообщение
"Нид хелп, может кто сталкивался (iptables)"
Отправлено Аноним , 06-Мрт-08 17:03

Вот у меня на машине таким скриптиком закрыты лишние порты:
# ИПТАБЛЕСЫ
IPTABLES=/sbin/iptables
# Начнем-с
$IPTABLES --flush
# Политика: все вхоядщие НАХ
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
# Локалхост можно
$IPTABLES -A INPUT -i lo -j ACCEPT
# Уже открытые коннекты можно
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пинг можно
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p igmp -j ACCEPT
# UDP DNS можно
$IPTABLES -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
# синхронизация времени
$IPTABLES -A INPUT -i eth0 -p udp --dport 123 -j ACCEPT
# Все нужные порты открыть
$IPTABLES -A INPUT -p tcp -i eth0 -m multiport --dport 20,21,22,25,53,80,443 -j ACCEPT
Раньше замечательно все работало, потом переставил ось, на машине стоит bind9 - он работает, но вот с помощью nslookup и запроса удаленного NS сервера не могу получить никакую инфу, кто знает, какое порт надо еще открыть? Что я забыл?
# Начнем-с
$IPTABLES --flush
# Политика: все открыто
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
как только все сбрасываю - все начинает работать
Вчастности проблема с postfix-ом, он перестает резолвить MX записи для доменов на отправку почты, начинает копиться очередь.
Вот допустим, все эти правила применены, делаю такой nslookup:
nslookup
> server ns2.mail.ru
Default server: ns2.mail.ru
Address: 194.67.57.104#53
> set type=MX
> mail.ru
;; connection timed out; no servers could be reached
>
при этом в логе постфикса вот:
status=deferred (Host or domain name not found. Name service error for name=mail.ru type=MX: Host not found, try again)
выключаю все правила, все раскрываю настежь:
nslookup
> server ns2.mail.ru
Default server: ns2.mail.ru
Address: 194.67.57.104#53
> set type=MX
> mail.ru
Server: ns2.mail.ru
Address: 194.67.57.104#53
mail.ru mail exchanger = 10 mxs.mail.ru.
>
Вот что не так?

Содержание

Нид хелп, может кто сталкивался (iptables),miroslav, 17:33 , 06-Мрт-08
- Нид хелп, может кто сталкивался (iptables),Аноним, 17:38 , 06-Мрт-08
Нид хелп, может кто сталкивался (iptables),stas, 17:36 , 06-Мрт-08

Сообщения в этом обсуждении

"Нид хелп, может кто сталкивался (iptables)"
Отправлено miroslav , 06-Мрт-08 17:33

> $IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
убери "-p tcp"

"Нид хелп, может кто сталкивался (iptables)"
Отправлено Аноним , 06-Мрт-08 17:38

>> $IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>убери "-p tcp"
Спасибо, помогло! :)

"Нид хелп, может кто сталкивался (iptables)"
Отправлено stas , 06-Мрт-08 17:36

>[оверквотинг удален]
>> set type=MX
>> mail.ru
>
>Server: ns2.mail.ru
>Address: 194.67.57.104#53
>
>mail.ru mail exchanger = 10 mxs.mail.ru.
>>
>
>Вот что не так?
Насколько я могу видеть, Вы разрешаете прохождение пакетов по установленным соединениям
только по протоколу tcp:
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Ответы DNS сервера скорее всего приходят по протоколу udp.
Попробуйте либо прописать доп. правило на udp, либо заменить -p tcp на -p all.