URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80355
[ Назад ]

Исходное сообщение
"Iptabler + DNS .... нерезолвяться имена"
Отправлено Doc , 19-Май-08 22:48

арод помогите на серваке установлен bind без включеного фарвола iptables зоны резолвяться нормально кактолько включаю iptables коннект к серваку проходит но на резолв имен пишет таймаут
вот конфиг . подскажите плиз в чем ошибка? komplexb:~ # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:ACK/ACK
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp
ACCEPT     tcp  --  213.221.6.0/24       anywhere            tcp multiport dports ssh,44337,ndmp,mysql
ACCEPT     tcp  --  10.111.0.0/16        anywhere            tcp multiport dports ssh,44337,ndmp,mysql
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain dpts:1024:65535
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:iad1
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere            !10.111.0.0/16       tcp dpt:ftp
ACCEPT     tcp  --  anywhere             komplexb.butovonet.ru tcp dpt:http
ACCEPT     tcp  --  anywhere             nai-update.kerio.com tcp dpt:http
DROP       tcp  --  anywhere             anywhere            tcp dpt:http
DROP       tcp  --  anywhere             anywhere            tcp dpt:30375

Содержание

Iptabler + DNS .... нерезолвяться имена,angra, 02:50 , 20-Май-08
- Iptabler + DNS .... нерезолвяться имена,Doc, 11:29 , 20-Май-08
Iptabler + DNS .... нерезолвяться имена,skgennady, 10:00 , 20-Май-08
- Iptabler + DNS .... нерезолвяться имена,Doc, 11:22 , 20-Май-08
  - Iptabler + DNS .... нерезолвяться имена,reader, 12:23 , 20-Май-08
    - Iptabler + DNS .... нерезолвяться имена,Doc, 13:28 , 20-Май-08
      - Iptabler + DNS .... нерезолвяться имена,angra, 14:25 , 22-Май-08
  - Iptabler + DNS .... нерезолвяться имена,skgennady, 14:04 , 20-Май-08

Сообщения в этом обсуждении

"Iptabler + DNS .... нерезолвяться имена"
Отправлено angra , 20-Май-08 02:50

Лучше бы конечно вывод iptables-save, так как без -v вывод iptales -L не полон, но судя по имеющемуся проблем быть не должно, а именно:
1. В цепочке INPUT предпоследнее правило делает все остальные и политику DROP несостоятельными, все равно все будет ACCEPT
2. В цеочке OUTPUT дефолтным стоит ACCEPT и под дропающие правила dns трафик не попадает.
Возможно вывод iptables-save поможет найти проблему. Ну и наконец всегда есть tcpdump для тонкой диагностики.

"Iptabler + DNS .... нерезолвяться имена"
Отправлено Doc , 20-Май-08 11:29

>Лучше бы конечно вывод iptables-save, так как без -v вывод iptales -L
>не полон, но судя по имеющемуся проблем быть не должно, а
>именно:
>1. В цепочке INPUT предпоследнее правило делает все остальные и политику DROP
>несостоятельными, все равно все будет ACCEPT
>2. В цеочке OUTPUT дефолтным стоит ACCEPT и под дропающие правила dns
>трафик не попадает.
>
>Возможно вывод iptables-save поможет найти проблему. Ну и наконец всегда есть tcpdump
>для тонкой диагностики.
вот полный вывод
а то что предпоследние касаеться только интерфейса lo
Chain INPUT (policy DROP 103K packets, 4305K bytes)
pkts bytes target     prot opt in     out     source               destination
2979K  184M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
17580  996K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp flags:ACK/ACK
39798 2032K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp
    7   336 ACCEPT     tcp  --  any    any     213.221.6.0/24       anywhere            tcp multiport dports ssh,44337,ndmp,mysql
    5   240 ACCEPT     tcp  --  any    any     10.111.0.0/16        anywhere            tcp multiport dports ssh,44337,ndmp,mysql
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp spt:domain dpts:1024:65535
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-reply
   46 10003 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp destination-unreachable
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp source-quench
    1   576 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp time-exceeded
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp parameter-problem
  160  9600 ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpts:1024:iad1
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 4367K packets, 5872M bytes)
pkts bytes target     prot opt in     out     source               destination
  429 25740 DROP       tcp  --  any    any     anywhere            !10.111.0.0/16       tcp dpt:ftp
    0     0 ACCEPT     tcp  --  any    any     anywhere             komplexb.butovonet.ru tcp dpt:http
    6   507 ACCEPT     tcp  --  any    any     anywhere             nai-update.kerio.com tcp dpt:http
   73  4300 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:http
    2   120 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:30375

"Iptabler + DNS .... нерезолвяться имена"
Отправлено skgennady , 20-Май-08 10:00

>ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535
Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения на входящие запросы к ДНС серверу нет.

"Iptabler + DNS .... нерезолвяться имена"
Отправлено Doc , 20-Май-08 11:22

>>ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535
>
>Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения
>на входящие запросы к ДНС серверу нет.
ACCEPT tcp -- anywhere anywhere tcp multiport dports ftp-data,ftp,smtp,ni-ftp, domain ,http,pop3,ident,imap,https,pptp
а разве слово domain неразришает в этом правеле?

"Iptabler + DNS .... нерезолвяться имена"
Отправлено reader , 20-Май-08 12:23

>[оверквотинг удален]
>>Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения
>>на входящие запросы к ДНС серверу нет.
>
>ACCEPT     tcp  --  anywhere
>          anywhere
>
>tcp multiport dports ftp-data,ftp,smtp,ni-ftp,       domain
>     ,http,pop3,ident,imap,https,pptp
>
>а разве слово domain неразришает в этом правеле?
Протокол должен быть udp.
angra правельно сказал. Правила не красивые, но с ними DNS должен работать. Покажите вывод iptables-save.

"Iptabler + DNS .... нерезолвяться имена"
Отправлено Doc , 20-Май-08 13:28

>[оверквотинг удален]
>>
>>tcp multiport dports ftp-data,ftp,smtp,ni-ftp,       domain
>>     ,http,pop3,ident,imap,https,pptp
>>
>>а разве слово domain неразришает в этом правеле?
>
>Протокол должен быть udp.
>
>angra правельно сказал. Правила не красивые, но с ними DNS должен работать.
>Покажите вывод iptables-save.
Добавил UDP 53 порт  и все заработало!
Спасибо!
komplexb:~ # iptables-save
# Generated by iptables-save v1.3.5 on Tue May 20 15:29:08 2008
*filter
:INPUT DROP [8:1081]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10110:13973110]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 20,21,25,47,53,80,110,113,143,443,1723 -j ACCEPT
-A INPUT -s 213.221.6.0/255.255.255.0 -p tcp -m tcp -m multiport --dports 22,44337,10000,3306 -j ACCEPT
-A INPUT -s 10.111.0.0/255.255.0.0 -p tcp -m tcp -m multiport --dports 22,44337,10000,3306 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1024:1030 -j ACCEPT
-A OUTPUT -d ! 10.111.0.0/255.255.0.0 -p tcp -m tcp --dport 21 -j DROP
-A OUTPUT -d 62.117.107.40 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 10.111.2.100 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j DROP
-A OUTPUT -p tcp -m tcp --dport 30375 -j DROP
COMMIT
# Completed on Tue May 20 15:29:08 2008
# Generated by iptables-save v1.3.5 on Tue May 20 15:29:08 2008
*nat
:PREROUTING ACCEPT [526:31806]
:POSTROUTING ACCEPT [2:1582]
:OUTPUT ACCEPT [2:1582]
COMMIT
# Completed on Tue May 20 15:29:08 2008
# Generated by iptables-save v1.3.5 on Tue May 20 15:29:08 2008
*mangle
:PREROUTING ACCEPT [6486:415963]
:INPUT ACCEPT [6186:398451]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10110:13973110]
:POSTROUTING ACCEPT [10110:13973110]
COMMIT
# Completed on Tue May 20 15:29:08 2008

"Iptabler + DNS .... нерезолвяться имена"
Отправлено angra , 22-Май-08 14:25

Вот теперь вам будет видна причина почему предпочтительней iptables-save. Обратите внимание на следущую строчку в начальном сообщении:
ACCEPT all -- anywhere anywhere
Исходя из нее можно сделать вывод что разрешен весь INPUT. Однако на самом деле она относится к следующему правилу:
-A INPUT -i lo -j ACCEPT
То есть на самом деле все разрешено только для loopback. Сделать такой вывод из информации в начальном сообщении просто невозможно.

"Iptabler + DNS .... нерезолвяться имена"
Отправлено skgennady , 20-Май-08 14:04

>[оверквотинг удален]
>>Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения
>>на входящие запросы к ДНС серверу нет.
>
>ACCEPT     tcp  --  anywhere
>          anywhere
>
>tcp multiport dports ftp-data,ftp,smtp,ni-ftp,       domain
>     ,http,pop3,ident,imap,https,pptp
>
>а разве слово domain неразришает в этом правеле?
Запросы к вашему серверу по udp делаются, а не по tcp. Tcp в этом правиле разрешает трансфер зоны.