我要正常从dns查询IP地址,应该开通那些端口?

nicebug

由于有人攻击, 我要把端口都封掉, 然后只开通需要的端口,

我现在的mail服务器, 需要开通25,109,110 端口外, 还需要开通什么端口.

应该需要解析域名,所以开通了.53端口, 但是不能进行解析,也不能发信呢.

还应该开通什么端口?

左看又看

没有问题啊，你开的是tcp还是udp. DNS用udp

aicoa

DNS同时使用TCP的53和UDP的53端口。
TCP的用于区域传输，UDP的用于DNS查询。

nicebug

是啊. 我把tcp 和udp 还有ip的53全都打开了, 还是不行, 我跟踪了一下端口,发现在发送这种请求的时候,好像还占用一个随机的端口, 这个怎么办啊?

左看又看

不会啊，DNS服务器只用53端口，你有没有加防火墙啊？

nicebug

不是dns服务器啊. 就是我自己的服务器,但是要用dns服务, 我打www.sina.com.cn 他应该去查询对应的IP 就是这一步, 都需要放开那些端口啊? 光放开53 不行呢.

左看又看

如果你提供DNS服务,就必须开放53端口,让别人来查询.同样的你的服务器向其他DNS查询地址的时候,自己使用临时端口,目标端口是53.原理就是这样.

nicebug

对啊. 就是这个临时端口, 应该怎么设置呢. 我如果把端口都放开, 经常会有一些黑客 上来 利用我的服务器. 我没有什么很好的办法, 于是我把端口封掉,可是不能解析域名,就不能发信了.

aicoa

不要把源端口跟目的端口搞错啊！

你需要开放目的端口为53。
你做客户端做DNS查询时，本地源端口是随机的，目的是53。

ciscounix

源、目的端口不分了，