Firewall blockiert Port 53 trotz Auflistung noch?

8

Ich habe 3 Knoten mit praktisch den gleichen iptables-Regeln, die aus einem Bash-Skript geladen wurden, aber ein bestimmter Knoten blockiert den Verkehr auf Port 53, obwohl er aufgelistet ist, dass er ihn akzeptiert:

$ iptables --list -v

Chain INPUT (Richtlinie DROP 8886-Pakete, 657 KByte)
 pkts bytes Ziel prot opt ​​in out Quellziel         
    0 0 AKZEPTIEREN Sie alles - siehe überall            
    2 122 ACCEPT icmp - jede beliebige überall icmp Echo-Anfrage 
20738 5600K AKZEPTIEREN Sie alle - jeden beliebigen Ort überall VERWANDT, GESTELLT 
    0 0 ACCEPT tcp - eth1 an einer beliebigen Stelle node1.com Multiport-Ports http, smtp 
    0 0 ACCEPT udp - eth1 überall ns.node1.com udp dpt: domain 
    0 0 ACCEPT tcp - eth1 überall ns.node1.com tcp dpt: domain 
    0 0 ACCEPT all - eth0 any node2.backend überall            
   21 1260 ACCEPT all - eth0 any node3.backend überall            
    0 0 ACCEPT all - eth0 any node4.backend überall            

Chain FORWARD (Richtlinie DROP 0 Pakete, 0 Bytes)
 pkts bytes Ziel prot opt ​​in out Quellziel         

Kettenausgang (Richtlinie ACCEPT 15804-Pakete, 26 MByte)
 pkts bytes Ziel prot opt ​​in out Quellziel

nmap -sV -p 53 ns.node1.com // Vom Remote-Server

Starten von Nmap 4.11 (http://www.insecure.org/nmap/) am 24.02.2011 um 11:44 EST
Interessante Ports auf ns.node1.com (1.2.3.4):
PORT STATE SERVICE VERSION
53 / TCP gefilterte Domain

Nmap beendet: 1 IP-Adresse (1 Host hoch) in 0,336 Sekunden gescannt

Irgendwelche Ideen?

Vielen Dank

domain-name-system firewall iptables Tom
quelle

Antworten:

3

Ich stelle fest, dass null Pakete tatsächlich Ihre iptablesACCEPT-Regeln für DNS erreicht haben. Ich denke, es ist wahrscheinlich, dass Ihre iptablesRegeln eine inkonsistente Kombination von Bedingungen angeben, die niemals mit eingehenden DNS-Abfragen übereinstimmen.

In Ihrem Fall legen Ihre DNS ACCEPT-Regeln fest, dass die eingehende Schnittstelle eth1und die Ziel-IP-Adresse in aufgelöst werden müssen ns.node1.com. Sie sollten prüfen, ob eingehende DNS-Abfragen ns.node1.comjemals über die eth1Netzwerkschnittstelle eingehen können .

Eine andere Möglichkeit besteht darin, dass Sie irgendwo zwischen Ihrem Testclient und Ihrem Server einen anderen Paketfilter haben, der DNS-Pakete blockiert.

Steven Montag
quelle
Danke, ich werde das untersuchen. Der Port wird entsperrt, wenn ich iptables stoppe, wodurch ein Paketfilter über meinem Server ausgeschlossen wird, der das Problem verursacht.
Tom
Nach dem Entfernen aller Firewall-Regeln mit Ausnahme von iptables -A INPUT -i eth1 -j ACCEPT ist der Port weiterhin blockiert. Wenn ich iptables stoppe, ist es offen. Irgendwelche Ideen jetzt?
Tom
@ Tom: Es ist klar, dass Ihre Testpakete die ACCEPT-Regel nicht erfüllen, da sonst der Port nicht blockiert würde. Die wahrscheinlichste Schlussfolgerung ist, dass Ihre Testpakete nicht ankommen eth1. Sind Sie sicher, dass eth1sie dort ankommen sollten?
Steven Montag,
Ich bin nicht sicher, aber ich werde mein Setup erklären - eth0 hat die private IP und eth1 hat die Haupt-IP, eth1: 0 ist der Nameserver (und das gewünschte Ziel für die Pakete) und eth1: 1 ist für nginx. Meine anderen 2 Server haben identische Schnittstellen und Schnittstellen-Aliase. Der einzige Unterschied, den ich mir vorstellen kann, ist eth1: 0 auf den anderen 2 Servern für Slave-Nameserver und eth1: 0 auf diesem Server für den Master-Nameserver. Gibt das einen Einblick? Schätzen Sie Ihre Hilfe - das bringt mich wirklich um.
Tom
Ich sollte erwähnen, dass ich vor und nach den Regeln zur Steuerung von Diensten immer diese Standardregeln im Bash-Skript hatte: iptables -F; iptables -Z; iptables -A INPUT -i lo -j ACCEPT; iptables -A INPUT -p icmp -m icmp --icmp-Typ Echo-Anfrage -j ACCEPT; iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT; ## Regeln zur Steuerung von Diensten hier ## iptables -P OUTPUT ACCEPT; iptables -P INPUT DROP; iptables -P FORWARD DROP;
Tom
3

Wahrscheinlich wird der TCP-Port von einer anderen Firewall blockiert. Verwenden Sie tcpdump / Wireshark, um das Problem zu debuggen.

Von mir:

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available
ooshro
quelle
1
Wenn ich iptables stoppe, wird der Port geöffnet.
Tom