阻止DNS服务器的iptables_Dns_Bind_Iptables_Centos5

阻止DNS服务器的iptables

dns

阻止DNS服务器的iptables,dns,bind,iptables,centos5,Dns,Bind,Iptables,Centos5,我正在尝试将服务器配置为允许传入DNS查询。托管公司设置的默认服务器允许在端口443、80和22上进行通信我已经修改了iptables文件，试图允许端口53上的请求，但是我没有从BIND得到任何响应。关闭防火墙允许DNS请求通过，因此对我来说，这表明名称服务器工作正常。设置为CentOS 5.5 这是iptables文件；如果有人能告诉我我在这里遗漏了什么，我将不胜感激提前谢谢 ================== # Firewall configuration written by sy

我正在尝试将服务器配置为允许传入DNS查询。托管公司设置的默认服务器允许在端口443、80和22上进行通信

我已经修改了iptables文件，试图允许端口53上的请求，但是我没有从BIND得到任何响应。关闭防火墙允许DNS请求通过，因此对我来说，这表明名称服务器工作正常。设置为CentOS 5.5

这是iptables文件；如果有人能告诉我我在这里遗漏了什么，我将不胜感激

提前谢谢

==================

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 10000 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 1024:65535 --sport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed

您的规则中的这一行完全错误：

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 1024:65535 --sport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT

您的意思是：允许从远程端口53到本地端口1024-65535的通信。我相信DNS正在监听端口53。请尝试此操作，以允许每个TCP/UDP通信流到目标端口53：

这些行不会起任何作用：以下线路允许协议号为50 ESP和51 AH源的通信：

非常感谢。我添加的行与我在VPS中看到的行非常相似。您注意到的没有做任何事情的线路是标准centOS安装的一部分。我不确定他们的意图，但不妨把他们留在那里，因为他们是标准安装的一部分。再次，非常感谢。50/51行将允许入站IPSEC隧道-50是ESP，51是AH。有关信息，我必须允许bind9 DNS服务器使用端口953

-A RH-Firewall-1-INPUT -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 53 -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT