Проблема следующая: огромный поток запросов на udp 53 порт.

Пытаюсь закрыть в iptables но без успешно :(  
http://www.networkcenter.info/tests/portcheck показывает что порт открыт

правило прописал такое:
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
-A INPUT -i eth0 -p udp --dport 53 -j DROP

Может где-то еще я что-то упустил?

Спасибо за помощь.

• Закрыть DNS извне в FEDORA,PavelR, 17:29 , 19-Апр-13
• Закрыть DNS извне в FEDORA,Дядя_Федор, 17:31 , 19-Апр-13
  • Закрыть DNS извне в FEDORA,DrS, 17:41 , 19-Апр-13
    • Закрыть DNS извне в FEDORA,Shanyou, 18:16 , 19-Апр-13
      • Закрыть DNS извне в FEDORA,Shanyou, 18:17 , 19-Апр-13
• Закрыть DNS извне в FEDORA,Mr. Mistoffelees, 18:21 , 19-Апр-13
• Закрыть DNS извне в FEDORA,John, 06:40 , 20-Апр-13
• Закрыть DNS извне в FEDORA,pavlinux, 14:18 , 20-Апр-13
• Закрыть DNS извне в FEDORA,andy03, 11:20 , 25-Апр-13

> Может где-то еще я что-то упустил?

Забыли документацию почитать, книги по линуксу.

> Спасибо за помощь.

Правила исполняются в определенном порядке, и каждое правило по отдельности само по себе ничего не значит.

Если все верно с интерфейсами и цепочками (ну, вдруг у вас обращение к ДНС идет через форвард) - то вроде то, что надо. Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты используют UDP. Ну и, естественно, лучше было бы в INPUT поставить политику по умолчанию DROP и разрешить те порты, которые необходимы для работы. Ну и, естественно, в INPUT может быть какое-то правило, которое может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот так - добавляйте его в НАЧАЛО. Ключом -I, естественно.

>[оверквотинг удален]
> к ДНС идет через форвард) - то вроде то, что надо.
> Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон
> (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать
> то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты
> используют UDP. Ну и, естественно, лучше было бы в INPUT поставить
> политику по умолчанию DROP и разрешить те порты, которые необходимы для
> работы. Ну и, естественно, в INPUT может быть какое-то правило, которое
> может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет
> правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот
> так - добавляйте его в НАЧАЛО. Ключом -I, естественно.

Спасибо что отозвались

-I INPUT -i eth0 -p udp --dport 53 -j DROP

Сделал так, ничего не поменяло :(

Вообще все порты вроде закрыты, которые были открыты закрыл принудительно.
Может есть еще где-то конфиг какой-то?

Я к сожалению в линуксе не очень :(

:PREROUTING ACCEPT [226016:17503435]
:POSTROUTING ACCEPT [106697:5984894]
:OUTPUT ACCEPT [69448:3072286]
COMMIT
# Completed on Mon May 30 12:27:28 2011
# Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011
*filter
:INPUT ACCEPT [1663198:1079718327]
:FORWARD ACCEPT [12523476:5371631954]
:OUTPUT ACCEPT [2106441:1092490640]
-A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth3 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
-I INPUT -i eth0 -p udp --dport 53 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j DROP
COMMIT
# Completed on Mon May 30 12:27:28 2011
# Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011
*mangle
:PREROUTING ACCEPT [29259201:26997372817]
:INPUT ACCEPT [1675182:1080061727]
:FORWARD ACCEPT [27504700:25910545951]
:OUTPUT ACCEPT [2106441:1092490640]
:POSTROUTING ACCEPT [29612358:27003188615]
COMMIT
# Completed on Mon May 30 12:27:28 2011

у вас по умолчанию все разрешено, поэтому и не отрабатываются правила.. УВАС ДОЛЖЕН БЫТЬ
INPUT DROP

В таблице filter

Привет,

> Проблема следующая: огромный поток запросов на udp 53 порт.

Вы уверены? А почему это к вам такой трафик по DNS идет вы не выяснили, прежде чем "закрывать" его?

> Пытаюсь закрыть в iptables но без успешно :(

Что вы понимаете под "закрыть"? Если хоите, чтобы пакеты не доходили до сервиса, вам уже показали как это сделать через iptables. Тем не менее, пакеты будут доходить до вашего сервера, "съедая" канал связи и ресурс CPU - в этом прелесть UDP. Если хотите обрезать трафик пакетов, обратитесь вашему аплинку - опять-таки, выяснив сначала кто, откуда (и зачем) шлет вам такой трафик.

WWell,

> -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
> -A INPUT -i eth0 -p udp --dport 53 -j DROP

Если эти правила прописаны на компьютере, где работает DNS сервер и он отвечает на запросы приходящие на eth0 - то должно работать.

Если речь идет о маршрутизаторе, через который проходят пакеты к DNS серверу, то необходимо использовать цепочку FORWARD вместо INPUT.

Посмотрите на схему прохождения пакетов в iptables, например
http://igortiunov4unix.wordpress.com/2013/03/14/iptables-tra.../

> Проблема следующая: огромный поток запросов на udp 53 порт.

Предлагаю написать плугин для iptables, запрещающий, на законодательном уровне,
присылать запросы на 53 порт. И сделать коммит в конституцию. А сканирование портов
прировнять к терроризму!

> Проблема следующая: огромный поток запросов на udp 53 порт.
> Пытаюсь закрыть в iptables но без успешно :(
> http://www.networkcenter.info/tests/portcheck показывает что порт открыт
> правило прописал такое:
> -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
> -A INPUT -i eth0 -p udp --dport 53 -j DROP
> Может где-то еще я что-то упустил?
> Спасибо за помощь.

а в named.conf

listen-on { local.face; 127.0.0.1; }; ?