অন্যথায় তালিকা সত্ত্বেও ফায়ারওয়াল এখনও পোর্ট 53 ব্লক করছে?

8

আমার কাছে প্রায় 3 টি নোড রয়েছে যা কার্যত একই iptables নিয়মগুলিতে ব্যাশ স্ক্রিপ্ট থেকে লোড করা হয়েছে, তবে একটি নির্দিষ্ট নোড পোর্ট 53 এ ট্র্যাফিক অবরুদ্ধ করছে যদিও তা মেনে নেওয়ার তালিকা থাকলেও:

ip iptables --list -v

চেইন ইনপুট (নীতি ড্রপ 8886 প্যাকেট, 657 কে বাইট)
 pkts বাইটস লক্ষ্য গন্তব্য প্রোট অপ্ট আউট উত্স গন্তব্য         
    0 0 সকলকে স্বীকার করুন - যে কোনও জায়গায় যে কোনও স্থানে দেখুন            
    2 122 এসিসিপিটি আইসিএমপি - যে কোনও জায়গায় আইসিএমপি প্রতিধ্বনি-অনুরোধ 
20738 5600 কে সমস্ত গ্রহণ করুন - যে কোনও জায়গায় যে কোনও জায়গায় রাজ্য সম্পর্কিত, প্রতিষ্ঠিত 
    0 0 এসিসিপিটি টিসিপি - এথ 1 যে কোনও জায়গায় node1.com মাল্টিপোর্টপোর্ট ডিপোর্টগুলি HTTP, এসএমটিপি 
    0 0 এসিসিপিটি ইউডিপি - eth1 যে কোনও জায়গায় ns.node1.com udp dpt: ডোমেন 
    0 0 এসিসিপিটি টিসিপি - এথ 1 যে কোনও জায়গায় ns.node1.com টিসিপি ডিপিটি: ডোমেন 
    0 0 সকলকে এসিসিপিটি করুন - যে কোনও নোড 2.ব্যাকএন্ড এথ 0 করুন            
   21 1260 সমস্ত স্বীকার করুন - যে কোনও নোট 3. ব্যাকএন্ডের যে কোনও স্থানে E00 করুন            
    0 0 সকলকে এসিসিপিটি করুন - যে কোনও নোট 4. ব্যাকেন্ডের যে কোনও স্থানে এথ 0 করুন            

চেইন ফরওয়ার্ড (নীতি ড্রপ 0 প্যাকেট, 0 বাইট)
 pkts বাইটস লক্ষ্য গন্তব্য প্রোট অপ্ট আউট উত্স গন্তব্য         

চেইন আউটপুট (নীতিমালা 15804 প্যাকেট, 26 এম বাইট)
 pkts বাইটস লক্ষ্য গন্তব্য প্রোট অপ্ট আউট উত্স গন্তব্য

nmap -sV -p 53 ns.node1.com // রিমোট সার্ভার থেকে

এনএম্যাপ 4.11 (http://www.insecure.org/nmap/) থেকে 2011-02-24 11:44 EST এ শুরু হচ্ছে
Ns.node1.com (1.2.3.4) তে আকর্ষণীয় বন্দর:
পোর্ট স্টেট সার্ভিস সংস্করণ
53 / টিসিপি ফিল্টার করা ডোমেন

এনএমএপ সমাপ্ত: 1 আইপি ঠিকানা (1 হোস্ট আপ) 0.336 সেকেন্ডে স্ক্যান হয়েছে

কোন ধারনা?

ধন্যবাদ

domain-name-system  firewall  iptables 
টম
সূত্র

উত্তর:

3

আমি লক্ষ্য করেছি যে শূন্য প্যাকেটগুলি আসলে iptablesডিএনএসের জন্য আপনার এসিসিপিটি বিধিগুলিতে পৌঁছেছে । আমি মনে করি সম্ভবত আপনার iptablesনিয়মগুলি এমন শর্তাবলীর অসঙ্গতিপূর্ণ সংমিশ্রণটি নির্দিষ্ট করছে যা আগত ডিএনএস প্রশ্নের সাথে মেলে না।

আপনার ক্ষেত্রে, আপনার ডিএনএস এসিসিপিটি বিধিগুলি নির্দিষ্ট করে যে আগত ইন্টারফেসটি অবশ্যই হবে eth1এবং গন্তব্য আইপি ঠিকানাটি অবশ্যই সমাধান করা উচিত ns.node1.com। আগত ডিএনএসের কোয়েরিগুলি ns.node1.comকখনই eth1নেটওয়ার্ক ইন্টারফেসে আসতে পারে কিনা তা আপনার পরীক্ষা করা উচিত ।

আরেকটি সম্ভাবনা হ'ল আপনার টেস্ট ক্লায়েন্ট এবং আপনার সার্ভারের মধ্যে অন্য কোনও প্যাকেট ফিল্টার রয়েছে যা ডিএনএস প্যাকেটগুলি ব্লক করছে।

স্টিভেন সোমবার
সূত্র
ধন্যবাদ, আমি এটি খতিয়ে দেখব। আমি iptables বন্ধ করার সময় পোর্টটি অবরোধ মুক্ত করে, যা আমার সার্ভারের উপরে কোনও প্যাকেট ফিল্টারকে সমস্যার কারণ হিসাবে চিহ্নিত করে।
টম
Iptables -A INPUT -i eth1 -j ACCEPT ব্যতীত ফায়ারওয়াল সংক্রান্ত সমস্ত নিয়ম সরিয়ে নেওয়ার পরেও পোর্টটি অবরুদ্ধ করা আছে। আমি যখন iptables বন্ধ করি এটি খোলা থাকে। এখন কোন ধারণা?
টম
@ টম: স্পষ্টতই, আপনার পরীক্ষার প্যাকেটগুলি এসিসিইপিটি নিয়মকে আঘাত করছে না, অন্যথায় পোর্টটি অবরুদ্ধ করা হবে না। সর্বাধিক সম্ভবত উপসংহারটি হল যে আপনার পরীক্ষার প্যাকেটগুলি আগমন করছে না eth1। আপনি কি নিশ্চিত যে eth1সেখানে পৌঁছে যাওয়া উচিত?
স্টিভেন সোমবার
আমি নিশ্চিত নই, তবে আমি আমার সেটআপটি ব্যাখ্যা করব - eth0 এর ব্যক্তিগত আইপি রয়েছে এবং এথ 1 এর মূল আইপি রয়েছে, এথ 1: 0 হ'ল নেমসারভার (এবং প্যাকেটের জন্য পছন্দসই গন্তব্য) এবং এথ 1: 1 এনজিনেক্সের জন্য। আমার অন্যান্য 2 সার্ভারে অভিন্ন ইন্টারফেস এবং ইন্টারফেসের উপাধি রয়েছে। আমি কেবলমাত্র পার্থক্যটিই এথ 1: 0 টি অন্যান্য 2 সার্ভারের মধ্যে স্লভ নেমসার্ভারগুলির জন্য এবং নথনসার্ভারের জন্য এথ 1: 0 ব্যবহার করতে পারি the এটি কি কোনও অন্তর্দৃষ্টি দেয়? আপনার সহায়তার প্রশংসা করুন - এটি আমাকে হত্যা করছে।
টম
আমার উল্লেখ করা উচিত, পরিষেবাগুলি নিয়ন্ত্রণের নিয়মের আগে এবং পরে আমি বশ স্ক্রিপ্টে সর্বদা এই স্ট্যান্ডার্ড বিধিগুলি রেখেছি: আইপটিবেল-এফ; iptables -Z; iptables -A INPUT -i lo -j ACCEPT; iptables -A INPUT -p icmp -m icmp -icmp-type ইকো-অনুরোধ -j এসিসিপিটি; iptables -A INPUT -m state - স্টেট ESTABLISHED, রিলেটেড -জে এসিসিপিটি; ## এখানে পরিষেবাগুলি নিয়ন্ত্রণের নিয়ম রয়েছে ## iptables -P OUTPUT ACCEPT; iptables -P ইনপুট ড্রপ; iptables -P ফরওয়ার্ড ড্রপ;
টম
3

সম্ভবত টিসিপি পোর্টটি অন্য ফায়ারওয়াল দ্বারা অবরুদ্ধ। সমস্যাটি ডিবাগ করতে tcpdump / Wireshark ব্যবহার করুন।

আমার থেকে:

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available
ooshro
সূত্র
1
আমি iptables বন্ধ যখন পোর্ট খোলা হয়ে যায়।
টম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.