免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3545 | 回复: 4

[DNS] dns服务器的防火墙设置问题 [复制链接]

论坛徽章:
0
发表于 2012-11-16 16:06 |显示全部楼层
本帖最后由 ld1978 于 2012-11-16 16:21 编辑

我的防火墙作了以下设置,但客户机在开启防火墙时不能解析公网,而关闭防火墙时,就可以解析公网了,大家帮忙看一下,防火墙还需要设置什么?
[root@mail ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-smtp  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
fail2ban-pop3  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            172.16.1.9          tcp dpt:80
ACCEPT     tcp  --  172.16.1.9           0.0.0.0/0           tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            172.16.1.9          tcp dpt:22
ACCEPT     tcp  --  172.16.1.9           0.0.0.0/0           tcp spt:22
ACCEPT     icmp --  0.0.0.0/0            172.16.1.9         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:993
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:995
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited


[root@mail ~]# netstat -tunlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 127.0.0.1:10024             0.0.0.0:*                   LISTEN      1480/amavisd (maste
tcp        0      0 127.0.0.1:10025             0.0.0.0:*                   LISTEN      1603/master         
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      1456/mysqld         
tcp        0      0 0.0.0.0:10028               0.0.0.0:*                   LISTEN      1493/dspamd         
tcp        0      0 127.0.0.1:10030             0.0.0.0:*                   LISTEN      1690/slockd (master
tcp        0      0 127.0.0.1:10800             0.0.0.0:*                   LISTEN      1674/mini_httpd     
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      1613/httpd         
tcp        0      0 0.0.0.0:465                 0.0.0.0:*                   LISTEN      1603/master         
tcp        0      0 172.16.1.9:53               0.0.0.0:*                   LISTEN      1252/named         
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      1252/named         
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1291/sshd           
tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      1603/master         
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      1252/named         
tcp        0      0 :::110                      :::*                        LISTEN      1520/couriertcpd   
tcp        0      0 :::143                      :::*                        LISTEN      1507/couriertcpd   
tcp        0      0 ::1:10800                   :::*                        LISTEN      1674/mini_httpd     
tcp        0      0 ::1:53                      :::*                        LISTEN      1252/named         
tcp        0      0 :::22                       :::*                        LISTEN      1291/sshd           
tcp        0      0 ::1:953                     :::*                        LISTEN      1252/named         
tcp        0      0 :::993                      :::*                        LISTEN      1514/couriertcpd   
tcp        0      0 :::995                      :::*                        LISTEN      1526/couriertcpd   
udp        0      0 172.16.1.9:53               0.0.0.0:*                               1252/named         
udp        0      0 127.0.0.1:53                0.0.0.0:*                               1252/named         
udp        0      0 ::1:53                      :::*                                    1252/named

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2012-11-16 16:22 |显示全部楼层
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53

这两个规则,放到RH-Firewall-1-INPUT链里面REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 规则前面,否则象你那样,是不会生效的,都被REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 规则给drop掉了

论坛徽章:
0
发表于 2012-11-17 09:19 |显示全部楼层
DNS服务器上的防火墙开发UDP/TCP:53端口 即可

论坛徽章:
0
发表于 2012-11-19 09:11 |显示全部楼层
已经可以了,谢谢二楼的。。。。

论坛徽章:
0
发表于 2012-11-20 17:20 |显示全部楼层
目的端口  tcp  udp 53 都开了。就行了
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP