The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Нид хелп, может кто сталкивался (iptables)"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Нид хелп, может кто сталкивался (iptables)"  
Сообщение от Аноним email(??) on 06-Мрт-08, 17:03 
Вот у меня на машине таким скриптиком закрыты лишние порты:

# ИПТАБЛЕСЫ
IPTABLES=/sbin/iptables

# Начнем-с
$IPTABLES --flush

# Политика: все вхоядщие НАХ
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Локалхост можно
$IPTABLES -A INPUT -i lo -j ACCEPT

# Уже открытые коннекты можно
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

# Пинг можно
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p igmp -j ACCEPT

# UDP DNS можно
$IPTABLES -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

# синхронизация времени
$IPTABLES -A INPUT -i eth0 -p udp --dport 123 -j ACCEPT

# Все нужные порты открыть
$IPTABLES -A INPUT -p tcp -i eth0 -m multiport --dport 20,21,22,25,53,80,443 -j ACCEPT

Раньше замечательно все работало, потом переставил ось, на машине стоит bind9 - он работает, но вот с помощью nslookup и запроса удаленного NS сервера не могу получить никакую инфу, кто знает, какое порт надо еще открыть? Что я забыл?

# Начнем-с
$IPTABLES --flush

# Политика: все открыто
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

как только все сбрасываю - все начинает работать

Вчастности проблема с postfix-ом, он перестает резолвить MX записи для доменов на отправку почты, начинает копиться очередь.

Вот допустим, все эти правила применены, делаю такой nslookup:

nslookup
> server ns2.mail.ru

Default server: ns2.mail.ru
Address: 194.67.57.104#53
> set type=MX
> mail.ru

;; connection timed out; no servers could be reached
>

при этом в логе постфикса вот:

status=deferred (Host or domain name not found. Name service error for name=mail.ru type=MX: Host not found, try again)

выключаю все правила, все раскрываю настежь:

nslookup
> server ns2.mail.ru

Default server: ns2.mail.ru
Address: 194.67.57.104#53
> set type=MX
> mail.ru

Server:         ns2.mail.ru
Address:        194.67.57.104#53

mail.ru mail exchanger = 10 mxs.mail.ru.
>

Вот что не так?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Нид хелп, может кто сталкивался (iptables)"  
Сообщение от miroslav email(??) on 06-Мрт-08, 17:33 
> $IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

убери "-p tcp"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Нид хелп, может кто сталкивался (iptables)"  
Сообщение от Аноним email(??) on 06-Мрт-08, 17:38 
>> $IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>убери "-p tcp"

Спасибо, помогло! :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Нид хелп, может кто сталкивался (iptables)"  
Сообщение от stas (??) on 06-Мрт-08, 17:36 
>[оверквотинг удален]
>> set type=MX
>> mail.ru
>
>Server:         ns2.mail.ru
>Address:        194.67.57.104#53
>
>mail.ru mail exchanger = 10 mxs.mail.ru.
>>
>
>Вот что не так?

Насколько я могу видеть, Вы разрешаете прохождение пакетов по установленным соединениям
только по протоколу tcp:
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Ответы DNS сервера скорее всего приходят по протоколу udp.
Попробуйте либо прописать доп. правило на udp, либо заменить -p tcp на -p all.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру