怎么配置IPTALBES，以使禁止本机DNS解析外网域名？

ruok

为什么设置了这两条规则后还不能禁止呢？

请高手指点


iptables -A OUTPUT -s localhost -p tcp --source-port 53 -j DROP
iptables -A OUTPUT -s localhost -p udp --source-port 53 -j DROP

hongzjx

啥意思?

llzqq

OUTPUT 怎么搭配了 source-port

attiseve

DNS与DNS之间的会话是用53端口吗？
iptables -A OUTPUT -o eth0 -s x.x.x.x -p tcp --sprot 53 -j DROP 试试看
假设eth0是你的外网网卡，x.x.x.x是你的外网地址。建议不要用localhost，以免是127的那个回环地址

snowseya

应该是目的端口呀，你设置成源端口了，向外请求当然是请求对方DNS的端口呀，对方DNS端口是53，所以你改成目的端口试试。

ruok

我的IP是内网的,10.0.0.253 DNS用福州电信的.

目的是禁止本机解析外网域名.

iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p udp --source-port 53 -j DROP
iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p tcp --source-port 53 -j DROP

这样做了还不行啊.

是不是要把源地址设为我的公网IP啊? 我的公网IP是自动获取的啊.

tom_01

原帖由 ruok 于 2005-12-27 13:09 发表
我的IP是内网的,10.0.0.253 DNS用福州电信的.

目的是禁止本机解析外网域名.

iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p udp --source-port 53 -j DROP
iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p tc ...

DNS 用的是 UDP 协议, 所以, iptables -A OUTPUT -o eth0 -s 10.0.0.253 -p tc ... 可以不写.

禁止本机解析外网域名

本机可以解析域名?
是不是即是讲本机是DNS服务器?

attiseve

我也想问和楼上同一个问题：你的本机是你的PC还是你的服务器？
“禁止解析外网域名”：是不是只让客户机解析你单位的域名，而其他的域名一概无法解析？（是不是一种变相的网络屏蔽？）

坚持向左

另外一个思路,解析外面的域名是通过根dns,你可以考虑禁止本机访问根dns的ip

網中人

iptables -I OUTPUT -p udp --port 53 -j REJECT
iptables -I OUTPUT -p tcp --port 53 -j REJECT