Я хотел разрешить исходящий DNS-трафик, пока OUTPUT находится в состоянии DROP

Zak A

20.06.2023, 19:14

В настоящее время у меня есть DNS-сервер, работающий на моем пи, и я использую его как свой DNS. Я хотел пропинговать google.ca, пока моя цепочка вывода/ввода находилась в состоянии сброса. вот мои правила брандмауэра, хотелось бы услышать отзывы о том, как исправить это, все еще не могу пинговать google.ca

#!/бин/баш
iptables-F
iptables -A INPUT -p tcp --dport 22 -j ПРИНЯТЬ
iptables -A ВЫВОД -p tcp --sport 22 -j ПРИНЯТЬ
#сш
#http трафик
iptables -A INPUT -p tcp --dport 80 -j ПРИНЯТЬ
iptables -A ВЫВОД -p tcp --sport 80 -j ПРИНЯТЬ
iptables -A ВВОД -i lo -j ПРИНЯТЬ
iptables -A ВЫВОД -o lo -j ПРИНЯТЬ
#петля
# исходящий днс
iptables -A ВЫВОД -p udp --dport 53 -j ПРИНЯТЬ
iptables -A ВВОД -p udp --sport 53 -j ПРИНЯТЬ
iptables -A ВЫВОД -p tcp --dport 53 -j ПРИНЯТЬ
iptables -A INPUT -p tcp --sport 53 -j ПРИНЯТЬ
# входящий днс 
iptables -A ВЫВОД -p udp --sport 53 -j ПРИНЯТЬ
iptables -A INPUT -p udp --dport 53 -j ПРИНЯТЬ
iptables -A ВЫВОД -p tcp --sport 53 -j ПРИНЯТЬ
iptables -A INPUT -p tcp --dport 53 -j ПРИНЯТЬ

0 + 0

календарь

брандмауэр

сеть

DNS

Thomas Ward

20.06.2023, 19:15

Можете ли вы включить полные текущие правила iptables? `sudo iptables -L -n -v --line-numbers` и добавить его как редактирование вопроса?

Ответить

Zak A

20.06.2023, 19:24

Я очищаю iptables в скрипте

Ответить

Doug Smythies

20.06.2023, 19:40

Пожалуйста, сделайте, как просил @ThomasWard. Нам нужно увидеть ваши политики по умолчанию и общий контекст. Если вы хотите разрешить пинг, вам нужны правила для этого, если ваша политика по умолчанию — DROP.

Ответить

Thomas Ward

20.06.2023, 19:41

Есть также несколько вещей, которые я бы добавил в любом случае, например, сопоставление состояний RELATED, ESTABLISHED в INPUT и OUTPUT и разрешить его, таким образом, вам не нужно явно разрешать все подключения к порту, а разрешать только трафик, который связанный с НОВЫМ трафиком, который вы устанавливаете для исходящего трафика. НО да, мы по-прежнему хотим видеть текущий макет *после* запуска вашего скрипта.

Ответить

Admin

Этот вопрос на других языках:

EN: I wanted to allow outgoing DNS traffic while OUTPUT is on DROP

TH: ฉันต้องการอนุญาตการรับส่งข้อมูล DNS ขาออกในขณะที่ OUTPUT อยู่ใน DROP

RO: Am vrut să permit traficul DNS de ieșire în timp ce OUTPUT este pe DROP

RU: Я хотел разрешить исходящий DNS-трафик, пока OUTPUT находится в состоянии DROP

VI: Tôi muốn cho phép lưu lượng DNS gửi đi trong khi OUTPUT đang ở chế độ DROP

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.