Брандмауэр Ubuntu блокирует DNS-запросы к гостю VMWARE с добавлением правил исходящего трафика и выполнением сопоставления с отслеживанием состояния

Это уникальная проблема, связанная с DNS-запросами (tcp/udp 53) даже с правильными правилами UFW/iptables и не относящаяся к /etc/resolv.conf.

Я могу пропинговать google DNS 8.8.8.8, но не могу разрешить google.com после включения хоста ufw. Пытался искать везде и соответственно обновлял ufw и iptables, чтобы разрешить DNS-запросы и разрешить установленное соединение.

Мой номерной статус ufw, связанный с DNS,

Скриншот правил UFW

Сопоставление с отслеживанием состояния iptables -A INPUT -m состояние --state УСТАНОВЛЕНО,СВЯЗАННО -j ПРИНЯТЬ

Примечание: vmnet 1/192.168.191.1/24, 192.168.191.130 (гость), общедоступный интерфейс хоста eno4.

Странно, когда я отключаю хост ufw, на гостевой стороне все работает отлично. Однако я могу пропинговать любые IP-адреса даже после включения брандмауэра.

статус sudo ufw пронумерован | группа 53

FAILED TCPDUMP на UDP/TCP 53 только после проверки связи с google.com через 8.8.8.8

Скриншот (UFW на хосте)

Примечание. UFW отключен в гостевой системе.

После большой помощи от serverfault.com: P и поощрения от Майкла Хэмптона я, наконец, решил пропущенные флаги подтверждения для запросов DNS, в то время как все остальное работало отлично.

Настоящая проблема заключалась в следующем: -systemd-resolved почему-то не разрешал DNS-запросы с любых других IP-адресов, кроме 127.0.0.1, после включения UFW

Решение состоит в том, чтобы изменить каждый вывод гостевой виртуальной машины, установив для отметки значение 2.

iptables -t mangle -A ВЫВОД! -s 192.168.191.130-j MARK --set-mark 2

где 192.168.191.130 — это кластер, из которого вы не хотите блокировать UDP.

ВАШЕ ЗДОРОВЬЕ!!