iptables问题，请高手指点一下！

rs888

内部DNS服务器，负责解析内部域名和转发外部域名，我现在想用iptables作一个防火墙将其保护起来，iptables设置如下

echo "1" >; /proc/sys/net/ipv4/ip_forward

#定义安全策略为正面列表
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#自定义服务器访问策略
$iptables -A INPUT -p tcp --dport 53 -j ACCEPT
$iptables -A INPUT -p udp --dport 53 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
$iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
防火墙设置以前服务器可以转发外部域名解析，防火墙设置以后只能解析内部域名，无法转发外部域名解析了！高手指点一下这是为什么？

rs888

高手赶快来呀！我快顶不住了！

lipeng21cn

这句话保险

for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}') ; do
$IPT -A INPUT -p tcp -s $DNS --sport domain -j ACCEPT
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done

rs888

大侠可以解释一下吗？我是菜鸟。

傻仔

是这一句：
$IPTABLES -P FORWARD DROP

rs888

可是我加上一条：
iptables -A FORWARD -p all -j ACCEPT
也没有任何作用！

傻仔

可以逐步查问题，先只drop input,没问题再加drop forward,最后才加output

cnriver

echo "1" >; /proc/sys/net/ipv4/ip_forward

rs888

echo "1" >; /proc/sys/net/ipv4/ip_forward
这一句原先就已经加上了！不是他的原因。

rs888

按照傻仔大哥的建议，只有在全部放开的时候，dns服务器才可以解析外部域名，只要drop任何一个dns就不能正常解析外部域名了。怎么办呢？是不是dns服务器进行转发的时候自身不是用的53端口，使用随机的端口连接远端的isp的域名服务器男3端口呢？