UFWがDNSをブロックしています


10

サーバーでセキュリティを構成しています。ファイアウォールでの管理を簡単にするために、UFWをインストールしました。UFWでいくつかの設定を行い、いくつかのポートを許可しました。そのため、有効にするとDNSサービスが応答しなくなりました。

DIG www.domain.com.brDNSをテストするコマンドを実行してみましたが、成功しませんでした。UFWが無効になっている場合、このコマンドは問題なく実行されます。53ポート(TCPおよびUDP)はすでに許可していますが、DNSが機能しません。

私のUFW設定:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)

ufw status verbose... の出力を投稿する
jasonwryan 2014年

ここで出力されpastebin.com/31Asbqwb
diegoklapper

試しましたがうまくいきませんでした。
diegoklapper 2014年

回答:



11

私はこの問題を解決しました。DNSサービスポートであるポート53の送信を許可しました。ありがとう。

sudo ufw allow out 53

4

まずufw allow dns、DNS要求の受信を許可しますが、これは望んだことではありません。

次に、他の回答で述べられているすべてのコマンドを(たやすくufw allow out 53)実行できますが、順序が重要です。したがって、単独で使用するとDNS要求も拒否される拒否ステートメントがある場合は、最後に記述してください。

したがって、最初にポート53をDNSサーバーに許可し、後で一部の要求を許可または拒否する可能性があります。


2

私は別のプロジェクトのために自分でいくつかのファイアウォールルールに取り組んでおり、@ diegoklapperのソリューションを機能させることができませんでした。

sudo ufw allow dnsより明確に(つまり、特定のインターフェイス)を複製する私自身の試みでさえ失敗しました:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

私が間違っていることに気づくまで(プロトコルに注意してください):

sudo ufw allow in on eth0 from any to any port 53 proto udp

注:これdnsmasqは、DNS要求を処理または転送している場合、およびデフォルトで発信要求がすでに許可されている場合に特に当てはまります。

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.