linux 内部网络不能ping域名，网关可以

yuntianya

故障：内网机器不能ping网络域名，邮件发送成功邮箱收取不到
dns都配置好没有问题
网关iptables设置
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [237864:21785306]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --sport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --sport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

chenyx

防火墙没啥问题啊.你看看防火墙停掉能用nslookup解析域名吗

yuntianya

停掉应该是可以，本来的故障是内部监控服务器不能正常发送邮件，能ping通域名
添加了几条上面的策略结果导致不能ping域名，邮件还是不能正常发送，应该是我改动了防火墙策略的问题
但是又看不出哪里错了

chenyx

测试下吧.没感觉你的规则有问题

yuntianya

在添加
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 53 -j ACCEPT
能ping通域名了
更改默认的主机名邮件也能发送成功

多谢各位

chenyx

解决了就好.
还是习惯自己写规则,红帽那个默认的规则做网关的规则,确实有些混乱