Chinaunix

标题: 怎么配置IPTALBES,以使禁止本机DNS解析外网域名? [打印本页]
作者: ruok    时间: 2005-12-26 15:38
标题: 怎么配置IPTALBES,以使禁止本机DNS解析外网域名?
为什么设置了这两条规则后还不能禁止呢?

请高手指点


iptables -A OUTPUT -s localhost -p tcp --source-port 53 -j DROP
iptables -A OUTPUT -s localhost -p udp --source-port 53 -j DROP
作者: hongzjx    时间: 2005-12-26 15:49
啥意思?
作者: llzqq    时间: 2005-12-26 19:42
OUTPUT 怎么搭配了 source-port
作者: attiseve    时间: 2005-12-26 20:10
DNS与DNS之间的会话是用53端口吗?
iptables -A OUTPUT -o eth0 -s x.x.x.x -p tcp --sprot 53 -j DROP 试试看
假设eth0是你的外网网卡,x.x.x.x是你的外网地址。建议不要用localhost,以免是127的那个回环地址
作者: snowseya    时间: 2005-12-27 08:09
应该是目的端口呀,你设置成源端口了,向外请求当然是请求对方DNS的端口呀,对方DNS端口是53,所以你改成目的端口试试。
作者: ruok    时间: 2005-12-27 13:09
我的IP是内网的,10.0.0.253 DNS用福州电信的.

目的是禁止本机解析外网域名.

iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p udp --source-port 53 -j DROP
iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p tcp --source-port 53 -j DROP

这样做了还不行啊.

是不是要把源地址设为我的公网IP啊? 我的公网IP是自动获取的啊.
作者: tom_01    时间: 2005-12-27 19:47
原帖由 ruok 于 2005-12-27 13:09 发表
我的IP是内网的,10.0.0.253 DNS用福州电信的.

目的是禁止本机解析外网域名.

iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p udp --source-port 53 -j DROP
iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p tc ...


DNS 用的是 UDP 协议, 所以, iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p tc ... 可以不写.

禁止本机解析外网域名

本机可以解析域名?
是不是即是讲本机是DNS服务器?
作者: attiseve    时间: 2005-12-27 22:02
我也想问和楼上同一个问题:你的本机是你的PC还是你的服务器?
“禁止解析外网域名”:是不是只让客户机解析你单位的域名,而其他的域名一概无法解析?(是不是一种变相的网络屏蔽?)
作者: 坚持向左    时间: 2005-12-30 11:38
另外一个思路,解析外面的域名是通过根dns,你可以考虑禁止本机访问根dns的ip
作者: 網中人    时间: 2005-12-30 11:42
iptables -I OUTPUT -p udp --port 53 -j REJECT
iptables -I OUTPUT -p tcp --port 53 -j REJECT
作者: archangle    时间: 2005-12-30 14:07
另外一个思路,解析外面的域名是通过根dns,你可以考虑禁止本机访问根dns的ip

普通机器不是通过根dns,而是当地的dns
作者: 坚持向左    时间: 2005-12-30 15:49
应该是先dns服务器本身resolv.conf中配的地址,然后根吧?
楼上的,是这个意思吧?
作者: huangd    时间: 2006-10-10 17:43
iptalbes -t filter -A INPUT -s ! 10.0.0.253 -p udp --dport 53 -j DROP
iptalbes -t filter -A INPUT -s ! 10.0.0.253 -p tcp --dport 53 -j DROP
作者: ttvast    时间: 2006-10-11 00:10
#/etc/named.conf

options{
        ......
        allow-recursion { none; };
};



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2