ファイアウォールがポート53をブロックしていますが、他にリストされていますか?

8

bashスクリプトから読み込まれた実質的に同じiptablesルールを持つ3つのノードがありますが、特定の1つのノードがポート53でトラフィックをブロックしていますが、それを受け入れています。

$ iptables --list -v

チェーン入力(ポリシーDROP 8886パケット、657Kバイト)
 pktsバイトターゲットプロトオプトインソース宛先         
    0 0すべて受け入れ-どこでもどこでもlo            
    2 122 ACCEPT icmp-どこでもどこでもicmp echo-r​​equest 
20738 5600Kすべてを受け入れる-どこでも、どこでも、状態関連、確立 
    0 0 ACCEPT tcp-eth1任意の場所node1.comマルチポートdports http、smtp 
    0 0 ACCEPT udp-eth1任意の場所ns.node1.com udp dpt:domain 
    0 0 ACCEPT tcp-eth1任意の場所ns.node1.com tcp dpt:domain 
    0 0すべて受け入れ-eth0任意のnode2.backendをどこでも            
   21 1260 ACCEPT all-eth0 any node3.backend wherewhere            
    0 0すべて受け入れ-eth0任意のnode4.backendどこでも            

チェーンフォワード(ポリシーDROP 0パケット、0バイト)
 pktsバイトターゲットプロトオプトインソース宛先         

チェーン出力(ポリシーACCEPT 15804パケット、26Mバイト)
 pktsバイトターゲットプロトオプトインソース宛先

nmap -sV -p 53 ns.node1.com //リモートサーバーから

2011-02-24 11:44 ESTにNmap 4.11(http://www.insecure.org/nmap/)を開始
ns.node1.com(1.2.3.4)の興味深いポート:
ポートステートサービスバージョン
53 / tcpフィルタリングドメイン

Nmap終了:0.336秒でスキャンされた1つのIPアドレス(1つのホストがアップ)

何か案は?

ありがとう

domain-name-system  firewall  iptables 
トム
ソース

回答:

3

パケットが実際にiptablesDNSのACCEPTルールに到達していないことに気づきました。おそらく、iptablesルールが、着信DNSクエリに決して一致しない一貫性のない条件の組み合わせを指定している可能性があります。

この場合、DNS ACCEPTルールは、着信インターフェイスがである必要がeth1あり、宛先IPアドレスがに解決される必要があることを指定しns.node1.comます。への着信DNSクエリns.node1.cometh1ネットワークインターフェイス経由で到達できるかどうかを確認する必要があります。

別の可能性として、テストクライアントとサーバーの間にDNSパケットをブロックしている別のパケットフィルターがある可能性があります。

スティーブン・マンデー
ソース
よろしくお願いします。iptablesを停止するとポートのブロックが解除され、サーバーの上のパケットフィルターが除外され、問題が発生します。
トム
iptablesを除くすべてのファイアウォールルールを削除した後-A INPUT -i eth1 -j ACCEPTポートは引き続きブロックされます。iptablesを停止すると、開いています。何かアイデアはありますか?
トム
@Tom:明らかに、テストパケットはACCEPTルールに達していません。そうでない場合、ポートはブロックされません。最も可能性の高い結論は、テストパケットがに到着しないことeth1です。eth1彼らが到着すべき場所は確かですか?
スティーブン月曜日
わかりませんが、セットアップについて説明します。eth0にはプライベートIP、eth1にはメインIP、eth1:0はネームサーバー(およびパケットの目的の宛先)、eth1:1はnginxです。他の2台のサーバーには、同じインターフェースとインターフェースエイリアスがあります。私が考えることができる唯一の違いは、他の2つのサーバーのeth1:0がスレーブネームサーバー用であり、このサーバーのeth1:0がマスターネームサーバー用であることです。それは洞察を提供しますか?あなたの助けに感謝します-これは本当に私を殺しています。
トム
言及する必要があるのは、サービスを制御するルールの前後に、bashスクリプトに次の標準ルールが常にあることです。iptables-F; iptables -Z; iptables -A INPUT -i lo -j ACCEPT; iptables -A INPUT -p icmp -m icmp --icmp-type echo-r​​equest -j ACCEPT; iptables -A INPUT -m state --state ESTABLISHED、RELATED -j ACCEPT; ##ここでサービスを制御するルール## iptables -P OUTPUT ACCEPT; iptables -P INPUT DROP; iptables -P FORWARD DROP;
トム
3

TCPの可能性が高いポートは、別のファイアウォールによってブロックされています。問題をデバッグするには、tcpdump / Wiresharkを使用します。

私から:

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available
ooshro
ソース
1
iptablesを停止すると、ポートが開いてしまいます。
トム
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.