Centos iptables打开端口53

8

我在我的centos机器上打开端口53进行DNS配置时遇到问题。

这是我的iptables配置

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

当我对计算机运行nmap扫描时，只有端口80显示为打开状态。我有什么想念的吗？

编辑：

完整的iptable

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT

centos iptables firewall

— 用户名
source

什么是nmap您使用的命令行？

— Hauke Laging

nmap 192.168.1.2

— user1817081 2013年

1

也许您之前有过DROP。-A在链的末尾添加这些规则。

— Laurentiu Roescu，

一个iptables --list将很容易看到。您还需要在system-config-firewall-tui（或GUI中）禁用防火墙，以便可以使用iptables命令手动设置防火墙，否则，如果使用它，它将重新编写iptables。温馨提示，service iptables save完成后，您可以（至少）以centos为单位，因此更改将在下次重新启动时生效。

— dougBTV

2

您仅允许UDP，但nmap默认情况下不测试UDP端口。您需要此：nmap -sU -p 53 $host

— Hauke Laging

12

您的语义相反。

您发布的规则允许传出 DNS连接到远程DNS服务器，而不是传入连接到本地DNS服务器。

要允许连接到本地DNS服务器，请逆转INPUT和OUTPUT规则：

-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

（并且请花一些时间将防火墙修改为有状态。）

— 迈克尔·汉普顿
source

2

如果进行AFXR或其他DNS传输，则可能还需要允许TCP连接。

— jeffatrackaid 2013年

不要在DNS服务器上阻止TCP查询。某些响应（例如www.google.com）将不适合UDP数据包，需要由TCP重复。TCP不仅用于DNS传输-普通查询还需要它。

— Tometzky

3

使用-I代替-A。

当您有一个DNS服务器正在侦听时，它将在端口53上侦听，因此输入规则应为

-I INPUT -p udp -m udp --dport 53 -j ACCEPT

— 3转
source

0

您确定DNS服务器正在运行吗？即使您打开了端口，该服务也必须处于活动状态。您可以通过运行netstat命令来验证正在本地侦听的内容。另外，您是否尝试过暂时完全关闭防火墙，只是为了看看出现了什么？

— 埃里克
source

是的，我确定DNS正在运行。如果我转过iptables，并在另一台机器上运行nmap，则端口显示为打开。

— user1817081 2013年

您可以发布完整的iptables配置吗？

— 埃里克

发布更新，见上文

— user1817081 2013年