UFW блокує DNS

10

Я налаштовую безпеку на своєму сервері. Для зручності управління на брандмауері я встановив UFW. Я зробив деякі налаштування в UFW і дозволив деякі порти. Для цього, коли я включив це, служби DNS не відповідали.

Я спробував запустити команду DIG www.domain.com.brдля тестування DNS, але це не вдалося. Ця команда виконується без проблем, коли UFW вимкнено. Я вже дозволив 53 порт (TCP і UDP), але DNS не працює.

Мої налаштування UFW:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)
linux  ubuntu  dns  ufw 
діегоклаппер
джерело
Опублікуйте вихід ufw status verbose
Jasonwryan
Ось вихід pastebin.com/31Asbqwb
diegoklapper
Я спробував це, але не вийшло.
дієгоклапер

Відповіді:

11

Я вирішив цю проблему. Я дозволив вихідний порт 53, який є портом служби DNS. Дякую.

sudo ufw allow out 53
діегоклаппер
джерело
4

По-перше, ufw allow dnsдозволяє приймати запити DNS, що не є тим, що ви хочете.

По-друге, ви можете слідувати всім командам, згаданим в інших відповідях (найлегше ufw allow out 53), але впорядкувати питання . Отже, якщо у вас є заперечення заяви, яке також заперечувало б запити DNS, коли використовується виключно, поставте його останньою !

Отже, спочатку дозвольте порт 53 до свого DNS-сервера, а згодом потенційно заборонити / відхилити деякі запити.

килим
джерело
2

Я сам працював над деякими правилами брандмауера над іншим проектом і не зміг отримати рішення @ diegoklapper для роботи.

Навіть мої власні спроби реплікувати sudo ufw allow dnsбільш явно (тобто конкретний інтерфейс) не вдалися:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

Поки я не зрозумів, що роблю не так (протокол примітки):

sudo ufw allow in on eth0 from any to any port 53 proto udp

Примітка. Це більш конкретно стосується dnsmasqвипадків, коли ви обробляєте або пересилаєте запити DNS і коли вихідні запити вже дозволені за замовчуванням.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
Метт Борха
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.