防火墙仍然阻止了端口53，但没有列出？

我有3个节点，从bash脚本加载了几乎相同的iptables规则，但是一个特定的节点尽管列出了接受的端口，但仍阻止了端口53上的流量：

$ iptables --list -v

链输入（策略DROP 8886数据包，657K字节）
 pkts字节目标prot opt in出源目的地         
    0 0全部接受-随时随地            
    2122 ACCEPT icmp-任何地方icmp echo-r​​equest 
20738 5600K接受所有-任何地方，任何地方状态相关，已确定 
    0 0 ACCEPT tcp-eth1任何位置node1.com多端口dport http，smtp 
    0 0接受udp-eth1任何位置ns.node1.com udp dpt：domain 
    0 0接受tcp-eth1任何地方ns.node1.com tcp dpt：domain 
    0 0全部接受-eth0任何node2.backend任何地方            
   21 1260全部接受-eth0任何node3.backend任何地方            
    0 0全部接受-eth0任何node4.backend任何地方            

链转发（策略DROP 0数据包，0字节）
 pkts字节目标prot opt in出源目的地         

链输出（策略ACCEPT 15804数据包，26M字节）
 pkts字节目标prot opt in出源目的地

nmap -sV -p 53 ns.node1.com //从远程服务器

在2011-02-24 11:44 EST开始Nmap 4.11（http://www.insecure.org/nmap/）
ns.node1.com（1.2.3.4）上有趣的端口：
港口国服务版本
53 / tcp过滤的域

Nmap完成：在0.336秒内扫描了1个IP地址（1个主机已启动）

有任何想法吗？

谢谢

我注意到，实际上有零个数据包达到iptables了DNS 的ACCEPT规则。我认为您的iptables规则可能指定的条件组合不一致，这些条件永远不会匹配传入的DNS查询。

对于您的情况，您的DNS ACCEPT规则指定传入接口必须为eth1，目标IP地址必须解析为ns.node1.com。您应该检查是否ns.node1.com可以通过eth1网络接口到达传入的DNS查询。

另一种可能性是，您的测试客户端和服务器之间的某个位置有另一个阻止DNS数据包的数据包筛选器。

可能是tcp端口被另一个防火墙阻止。使用tcpdump / Wireshark调试问题。

从我：

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available