请教,如何设置Linux DNS服务器查询端口(非监听端口)?

abc3w

Linux DNS 服务器,运行时会开放53 端口监听DNS查询,当发现NS记录过期或不在本机缓存里时,会随机使用一个UDP端口至根服务器查询.
    问题是能不能设置一个固定的端口至根服务器查询?以方便设置防火墙端口.

abc3w

我是一台机器跑 网关+DNS+SMB ,上次防火墙默认规则,被高人搞掂了.

看来,很少人来看这个问题,现在应用的规则是:
iptables -P INPUT DROP
iptables -A INPOT -i ppp0 -p udp --sport 53 --dport 65535 -j ACCEPT
这样,named 会从随机开始的端口号开始一个个的试,直到65535端口,就是要好长时间,
因为太慢,后来又改成
iptables -P INPUT DROP
iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i eth1 -s *.*.*.0/16 -p udp --dport  53 -j ACCEPT
iptables -A INPUT -i eth1 -s *.*.*.0/16 -p tcp --dport  67 -j ACCEPT
iptables -A INPUT -i eth1 -s *.*.*.0/16 -p tcp --dport  137 -j ACCEPT
iptables -A INPUT -i eth1 -s *.*.*.0/16 -p tcp --dport  138 -j ACCEPT
iptables -A INPUT -i eth1 -s *.*.*.0/16 -p tcp --dport  445 -j ACCEPT
iptables -A INPUT -i eth1 -s *.*.*.0/16 -p tcp --dport  等等 -j ACCEPT
不知会不会有什么安全方面的问题.还有没有更好办法可以解决 网关+DNS+SMB 服务器的安全?

網中人

--sport 改為 --dport

再加一行:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

abc3w

谢谢,试试先,不明白state的用法,我看明白文档先.

abc3w

谢谢!
问题解决.

ailms

query-source 选项