Ich konfiguriere die Sicherheit auf meinem Server. Zur Vereinfachung der Verwaltung an der Firewall habe ich das UFW installiert. Ich habe einige Einstellungen in der UFW vorgenommen und einige Ports zugelassen. Wenn ich es aktiviert habe, antworten die DNS-Dienste daher nicht.
Ich habe versucht, den Befehl DIG www.domain.com.br
zum Testen des DNS auszuführen, aber es war nicht erfolgreich. Dieser Befehl wird problemlos ausgeführt, wenn die UFW deaktiviert ist. Ich habe bereits den 53-Port (TCP und UDP) zugelassen, aber der DNS funktioniert nicht.
Meine UFW-Einstellungen:
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
21/tcp ALLOW IN Anywhere
16/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere
53 ALLOW IN Anywhere
465 ALLOW IN Anywhere
25/tcp ALLOW IN Anywhere
22 ALLOW IN Anywhere
21/tcp (v6) ALLOW IN Anywhere (v6)
16/tcp (v6) ALLOW IN Anywhere (v6)
443/tcp (v6) ALLOW IN Anywhere (v6)
80 (v6) ALLOW IN Anywhere (v6)
53 (v6) ALLOW IN Anywhere (v6)
465 (v6) ALLOW IN Anywhere (v6)
25/tcp (v6) ALLOW IN Anywhere (v6)
22 (v6) ALLOW IN Anywhere (v6)
ufw status verbose
Antworten:
Die vollständige korrekte Syntax sollte sein
quelle
Ich habe dieses Problem gelöst. Ich habe den ausgehenden Port 53 zugelassen, der der DNS-Dienstport ist. Vielen Dank.
quelle
Erstens
ufw allow dns
erlaubt eingehende DNS-Anfragen, was nicht das ist, was Sie wollen.Zweitens können Sie alle in anderen Antworten genannten Befehle befolgen (am einfachsten
ufw allow out 53
), aber die Reihenfolge ist wichtig . Wenn Sie also eine Verweigerungsanweisung haben, die auch DNS-Anforderungen verweigert, wenn sie ausschließlich verwendet werden, setzen Sie sie an die letzte Stelle !Erlauben Sie also zuerst Port 53 Ihrem DNS-Server und lassen Sie später möglicherweise einige Anforderungen nicht zu.
quelle
Ich habe selbst an einigen Firewall-Regeln für ein anderes Projekt gearbeitet und konnte die Lösung von @ diegoklapper nicht zum Laufen bringen.
Sogar meine eigenen Versuche,
sudo ufw allow dns
expliziter zu replizieren (dh eine bestimmte Schnittstelle), schlugen fehl:sudo ufw allow in on eth0 from any to any port 53 proto tcp
Bis mir klar wurde, was ich falsch gemacht habe (Protokoll beachten):
sudo ufw allow in on eth0 from any to any port 53 proto udp
Hinweis: Dies gilt insbesondere für
dnsmasq
den Fall, dass Sie DNS-Anforderungen verarbeiten oder weiterleiten und ausgehende Anforderungen standardmäßig bereits zulässig sind.quelle