UFW DNS'yi engelliyor


10

Sunucumdaki güvenliği yapılandırıyorum. Güvenlik duvarında daha kolay yönetim için UFW'yi kurdum. UFW'de bazı ayarlar yaptım ve bazı portlara izin verdim. Bu nedenle, etkinleştirdiğimde DNS hizmetleri yanıt vermiyor.

DIG www.domain.com.brDNS'yi test etmek için komutu çalıştırmayı denedim ama başarılı olmadı. UFW devre dışı bırakıldığında bu komut sorunsuz çalışır. Zaten 53 bağlantı noktasına (TCP ve UDP) izin verdim ancak DNS çalışmıyor.

UFW ayarlarım:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)

Çıktı sonrası ufw status verbose...
jasonwryan


Denedim ama işe yaramadı.
diegoklapper

Yanıtlar:


13

Tam doğru sözdizimi şu şekilde olmalıdır:

sudo ufw allow out to any port 53

11

Bu sorunu çözdüm. DNS servis portu olan 53 numaralı port için gidenlere izin verdim. Teşekkürler.

sudo ufw allow out 53

4

Öncelikle ufw allow dns, gelen DNS isteklerine izin verir, bu da istediğiniz değildir.

İkincisi, diğer cevaplarda (en kolay ufw allow out 53) belirtilen tüm komutları takip edebilirsiniz , ancak sipariş önemlidir . Dolayısıyla, yalnızca kullanıldığında DNS isteklerini de reddedecek bir reddetme ifadeniz varsa, son olarak koyun !

Bu yüzden önce 53 numaralı bağlantı noktasını DNS sunucunuza izin verin ve daha sonra bazı isteklere izin vermeme / reddetme.


2

Başka bir proje için kendim bazı güvenlik duvarı kuralları üzerinde çalışıyordum ve @ diegoklapper'ın çözümüne ulaşamadım.

Hatta sudo ufw allow dnsdaha açık bir şekilde çoğaltma denemem bile (yani belirli bir arayüz) başarısız oldu:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

Ne yaptığımı anlayana kadar (not protokolü):

sudo ufw allow in on eth0 from any to any port 53 proto udp

Not: Bu özellikle dnsmasqDNS isteklerini işlediğiniz veya ilettiğiniz ve varsayılan olarak giden isteklere izin verildiği durumlar için geçerlidir.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.