UFW正在阻止DNS


10

我正在服务器中配置安全性。为了简化防火墙管理,我安装了UFW。我在UFW中进行了一些设置,并允许了一些端口。因此,当我启用它时,DNS服务没有响应。

我尝试运行命令DIG www.domain.com.br来测试DNS,但未成功。禁用UFW时,此命令运行不会出现问题。我已经允许使用53端口(TCP和UDP),但是DNS无法正常工作。

我的UFW设置:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)

发布输出ufw status verbose...
jasonwryan


我尝试过,但是没有用。
diegoklapper 2014年

Answers:



11

我解决了这个问题。我允许将端口53传出,这是DNS服务端口。谢谢。

sudo ufw allow out 53

4

首先,ufw allow dns允许传入的DNS请求,这不是您想要的。

其次,您可以遵循其他答案中提到的所有命令(最简单ufw allow out 53),但是顺序很重要。因此,如果您有一个拒绝语句,该语句在单独使用时也会拒绝DNS请求,请放在最后

因此,首先允许端口53进入您的DNS服务器,然后可能禁止/拒绝某些请求。


2

我自己一直在为另一个项目制定一些防火墙规则,但无法使@diegoklapper的解决方案正常工作。

甚至我自己尝试sudo ufw allow dns更明确地复制(即特定接口)也失败了:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

直到意识到自己做错了(注意协议):

sudo ufw allow in on eth0 from any to any port 53 proto udp

注意:这更适用dnsmasq于处理或转发DNS请求且默认情况下已允许出站请求的情况。

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.