URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 669
[ Назад ]

Исходное сообщение
"DNS и порт 53"
Отправлено Varyag , 28-Май-03 22:18

Запущен демон named .Netstat показывает что named слушает порт 53.
При запуске ipchains грузится правило, которое открывает порт 53.Но
telnet server_ip 53 не пропускает по этому порту (телнет запущен) .Кто-нибудь знает как решить данную проблему?

Содержание

DNS и порт 53,Dragon_Stas, 22:43 , 28-Май-03
- DNS и порт 53,Varyag, 08:09 , 29-Май-03
  - DNS и порт 53,Michael, 08:49 , 29-Май-03
- DNS и порт 53,J, 12:16 , 29-Май-03
  - DNS и порт 53,Dragon_Stas, 16:18 , 29-Май-03
    - DNS и порт 53,Varyag, 10:09 , 30-Май-03
    - DNS и порт 53,Mikhail, 10:11 , 30-Май-03
      - DNS и порт 53,Varyag, 10:32 , 30-Май-03
        
        DNS и порт 53,Mikhail, 11:14 , 30-Май-03
        
        DNS и порт 53,Varyag, 13:10 , 30-Май-03
        
        DNS и порт 53,Mikhail, 13:13 , 30-Май-03
        
        DNS и порт 53,Varyag, 13:39 , 30-Май-03
        
        DNS и порт 53,mcduck, 14:50 , 30-Май-03
        
        DNS и порт 53,Mikhail, 15:05 , 30-Май-03
        
        DNS и порт 53,mcduck, 10:26 , 05-Июн-03

Сообщения в этом обсуждении

"DNS и порт 53"
Отправлено Dragon_Stas , 28-Май-03 22:43

ИМХО
DNS для резольвинга использует протокол UDP порт 53 (хотя есть случаи когда он работает и по TCP!) из этого следует, что DNS ждет запросы по протоколу UDP 53 порту, а Telnet же использует TCP протокол :)

"DNS и порт 53"
Отправлено Varyag , 29-Май-03 08:09

>ИМХО
>DNS для резольвинга использует протокол UDP порт 53 (хотя есть случаи когда
>он работает и по TCP!) из этого следует, что DNS ждет
>запросы по протоколу UDP 53 порту, а Telnet же использует TCP
>протокол :)

А как мне тогда udp 53 открыть?

"DNS и порт 53"
Отправлено Michael , 29-Май-03 08:49

>>ИМХО
>>DNS для резольвинга использует протокол UDP порт 53 (хотя есть случаи когда
>>он работает и по TCP!) из этого следует, что DNS ждет
>>запросы по протоколу UDP 53 порту, а Telnet же использует TCP
>>протокол :)
>
>
>А как мне тогда udp 53 открыть?
ты же говорил, что открыл...
поставь accept на порт 53 udp

"DNS и порт 53"
Отправлено J , 29-Май-03 12:16

>ИМХО
>DNS для резольвинга использует протокол UDP порт 53 (хотя есть случаи когда
>он работает и по TCP!) из этого следует, что DNS ждет
>запросы по протоколу UDP 53 порту, а Telnet же использует TCP
>протокол :)

tcp 53 порт тоже используется
для длинных ответов на запросы и передачи зон

"DNS и порт 53"
Отправлено Dragon_Stas , 29-Май-03 16:18

в студию вывод !
netstat -an

"DNS и порт 53"
Отправлено Varyag , 30-Май-03 10:09

>в студию вывод !
>netstat -an
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:1024            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1025          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6000            0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.1:53         0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.1:22         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp        0    844 192.168.1.1:22         192.168.1.17:4554   ESTABLISHED
udp        0      0 0.0.0.0:1024            0.0.0.0:*
udp        0      0 0.0.0.0:1025            0.0.0.0:*
udp        0      0 192.168.1.1:53         0.0.0.0:*
udp        0      0 127.0.0.1:53            0.0.0.0:*
udp        0      0 0.0.0.0:111             0.0.0.0:*

"DNS и порт 53"
Отправлено Mikhail , 30-Май-03 10:11

>в студию вывод !
>netstat -an
Скорее, все-таки, ipchains -nL (или сами правила)

"DNS и порт 53"
Отправлено Varyag , 30-Май-03 10:32

>>в студию вывод !
>>netstat -an
>
>Скорее, все-таки, ipchains -nL (или сами правила)
-A input -s 0/0 -d 0/0 53 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 23 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
-A input -p udp -s 0/0 53 -d 0/0 -j ACCEPT

"DNS и порт 53"
Отправлено Mikhail , 30-Май-03 11:14

#пропускаем входящие запросы
-A input -s <otkuda> 1024: -d <interface> 53 -p udp -y -j ACCEPT
#разрешаем ответы
-A output -s <interface> 53 -d <kuda> 1024: -p udp -y -j ACCEPT
....
Кстати, если указаны адреса 0/0, зачем их вообще указывать?
Прикинул, очень много писАть придется... Влом...
Почитай здесь:
https://www.opennet.ru/docs/RUS/linuxsos/ch7_1.html
https://www.opennet.ru/docs/HOWTO-RU/mini/Domain.html#FILTERING
ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/IPCHAINS-HOWTO

"DNS и порт 53"
Отправлено Varyag , 30-Май-03 13:10

>#пропускаем входящие запросы
>-A input -s <otkuda> 1024: -d <interface> 53 -p udp -y -j ACCEPT
>#разрешаем ответы
>-A output -s <interface> 53 -d <kuda> 1024: -p udp -y -j ACCEPT
>....
>Кстати, если указаны адреса 0/0, зачем их вообще указывать?
>Прикинул, очень много писАть придется... Влом...
>Почитай здесь:
>
>https://www.opennet.ru/docs/RUS/linuxsos/ch7_1.html
>https://www.opennet.ru/docs/HOWTO-RU/mini/Domain.html#FILTERING
>ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/IPCHAINS-HOWTO
Ну добавил я эти 2 правила и все равно
netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:1024            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1025          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6000            0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.1:53         0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.1:22         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.1:22         192.168.1.17:4554  ESTABLISHED
udp        0      0 0.0.0.0:1024            0.0.0.0:*
udp        0      0 0.0.0.0:1025            0.0.0.0:*
udp        0      0 192.168.1.1:53         0.0.0.0:*
udp        0      0 127.0.0.1:53            0.0.0.0:*
udp        0      0 0.0.0.0:111             0.0.0.0:*

"DNS и порт 53"
Отправлено Mikhail , 30-Май-03 13:13

А что здесь должно было измениться?
Может, стОит сначала почитать, что, как и для чего делается?

"DNS и порт 53"
Отправлено Varyag , 30-Май-03 13:39

>А что здесь должно было измениться?
>Может, стОит сначала почитать, что, как и для чего делается?

Запросы до сих пор не проходят

"DNS и порт 53"
Отправлено mcduck , 30-Май-03 14:50

А как это :
сначала ставится...
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
а потом...
-A input -p udp -s 0/0 53 -d 0/0 -j ACCEPT
?
И что, так и надо ? И воопче, почему -s 0/0 53, а не -d 0/0 53 ?

"DNS и порт 53"
Отправлено Mikhail , 30-Май-03 15:05

>А как это :
>сначала ставится...
>-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
- где такое написано?
>а потом...
>-A input -p udp -s 0/0 53 -d 0/0 -j ACCEPT
>?
>И что, так и надо ? И воопче, почему -s 0/0 53,
>а не -d 0/0 53 ?
Хорошо, еще раз...
Подразумевается локальный днс-сервер.
-A input -s <otkuda> 1024: -d <interface> 53 -p udp -j ACCEPT
- разрешаем с адресов <otkuda> запросы с портов >1024 (т.е. клиентские) на 53 порт udp
-A output -s <interface> 53 -d <kuda> 1024: -p udp -j ACCEPT
- и ответы с 53 udp на те же порты.
Далее - нужно разрешить трансфер зон куда/откуда нужно, запросы с этого сервера на внешние днс, и т.п. Ссылки приведены выше. Мог ошибиться в синтаксисе, давно перешел на iptables, но смысл тот же.

"DNS и порт 53"
Отправлено mcduck , 05-Июн-03 10:26

>>А как это :
>>сначала ставится...
>>-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
>- где такое написано?
>>а потом...
>>-A input -p udp -s 0/0 53 -d 0/0 -j ACCEPT
>>?
>>И что, так и надо ? И воопче, почему -s 0/0 53,
>>а не -d 0/0 53 ?
>
>Хорошо, еще раз...
>Подразумевается локальный днс-сервер.
>
>-A input -s <otkuda> 1024: -d <interface> 53 -p udp -j ACCEPT
>- разрешаем с адресов <otkuda> запросы с портов >1024 (т.е. клиентские) на 53 порт udp
>
>-A output -s <interface> 53 -d <kuda> 1024: -p udp -j ACCEPT
>- и ответы с 53 udp на те же порты.
>
>Далее - нужно разрешить трансфер зон куда/откуда нужно, запросы с этого сервера
>на внешние днс, и т.п. Ссылки приведены выше. Мог ошибиться в
>синтаксисе, давно перешел на iptables, но смысл тот же.
Дык, в сообщении #8, строка 10 правил - так и написано.
У Вас то все правильно - сначала разрешаем, чо надо, потом все остальное