UFW กำลังบล็อก DNS

10

ฉันกำลังกำหนดค่าความปลอดภัยในเซิร์ฟเวอร์ของฉัน เพื่อให้การจัดการที่ไฟร์วอลล์ง่ายขึ้นฉันติดตั้ง UFW ฉันทำการตั้งค่าบางอย่างใน UFW และอนุญาตบางพอร์ต ดังนั้นเมื่อฉันเปิดใช้งานบริการ DNS ไม่ตอบสนอง

ฉันลองใช้คำสั่งDIG www.domain.com.brเพื่อทดสอบ DNS แต่ก็ไม่ประสบความสำเร็จ คำสั่งนี้ทำงานโดยไม่มีปัญหาเมื่อปิดการใช้งาน UFW ฉันอนุญาตพอร์ต 53 (TCP และ UDP) แล้ว แต่ DNS ไม่ทำงาน

การตั้งค่า UFW ของฉัน:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)
linux  ubuntu  dns  ufw 
diegoklapper
แหล่งที่มา
โพสต์ผลลัพธ์ของufw status verbose...
jasonwryan
นี่คือผลลัพธ์pastebin.com/31Asbqwb
diegoklapper
ฉันลองแล้ว แต่มันใช้งานไม่ได้
diegoklapper

คำตอบ:

11

ฉันแก้ไขปัญหานี้แล้ว ฉันอนุญาตขาออกสำหรับพอร์ต 53 นั่นคือพอร์ตบริการ DNS ขอบคุณ

sudo ufw allow out 53
diegoklapper
แหล่งที่มา
4

ประการแรกufw allow dnsอนุญาตให้เรียกใช้การร้องขอ DNS ซึ่งไม่ใช่สิ่งที่คุณต้องการ

ประการที่สองคุณสามารถปฏิบัติตามคำสั่งทั้งหมดที่กล่าวถึงในคำตอบอื่น ๆ (ง่ายที่สุดufw allow out 53) แต่เรื่องการสั่งซื้อ ดังนั้นหากคุณมีคำสั่งปฏิเสธที่จะปฏิเสธการร้องขอ DNS เมื่อใช้ แต่เพียงผู้เดียวนำมันที่ผ่านมา !

ดังนั้นก่อนอนุญาตพอร์ต 53 ไปยังเซิร์ฟเวอร์ DNS ของคุณและในภายหลังอาจไม่อนุญาต / ปฏิเสธคำขอบางอย่าง

rugk
แหล่งที่มา
2

ฉันได้ทำงานกับกฎไฟร์วอลล์บางตัวสำหรับโครงการอื่นและไม่สามารถใช้วิธีแก้ปัญหา @ diegoklapper ได้

แม้แต่ความพยายามของฉันในการทำซ้ำsudo ufw allow dnsอย่างชัดเจนยิ่งขึ้น (เช่นอินเทอร์เฟซเฉพาะ) ล้มเหลว:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

จนกว่าฉันจะรู้ว่าสิ่งที่ฉันทำผิด (บันทึกโปรโตคอล):

sudo ufw allow in on eth0 from any to any port 53 proto udp

หมายเหตุ: สิ่งนี้จะมีผลเฉพาะกับdnsmasqกรณีที่คุณจัดการหรือส่งต่อคำขอ DNS และการอนุญาตให้ส่งคำขอขาออกโดยค่าเริ่มต้นแล้ว

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
Matt Borja
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.