iptables 開啟dns訪問埠

2021-07-10 03:12:20 字數 2741 閱讀 2091

iptables 開啟dns訪問埠

今天在測試本機dns的時候發現無法解釋網域名稱,經查原因出在iptables上邊。

我立即加了 iptables -t filter -a input -p udp --dport 53 -j accept 的鏈路,發現還是

不行。一般認為dns就是通過訪問dns伺服器的53埠進行網域名稱解釋的。本機埠應該是任意的,

可是就是不通。

沒有辦法再新增iptables -t filter -j log -p udp --log-prefix "dns monitor: " 新增一

個日誌功能。

新增了以上記錄後,還不能記錄那個功能。還需要再在

/etc/syslog.conf

新增乙個記錄,

kern.warning /var/log/iptables.log

kern是裝置名,warning 是記錄級別,/var/log/iptables.log 記錄日誌檔案位置。

其中的具體設定如果大家有興趣可以另外查詢一下其它的文件。

最後重啟一下syslog服務。

service syslog restart

現在就可以了。

使用nslookup www.sina.com.cn

然後我們看一下/var/log/iptables.log檔案

:10:db:69:43:50:08:00 src=219.141.140.10 dst=192.2.8.185 len=169 tos=0x00 prec=0x00

ttl=241 id=63822 df proto=udp spt=53 dpt=45623 len=149

裡面的spt=53是53,也就是我們需要開放53埠。

iptables -t filter -a input -p udp -m udp -j accept

nslookup www.sina.com.cn

server: 

219.141.140.10

address: 

219.141.140.10#53

現在再執行nslookup www.sina.com.cn

non-authoritative answer:

www.sina.com.cn canonical name = jupiter.sina.com.cn.

jupiter.sina.com.cn 

canonical name = hydra.sina.com.cn.

name: 

hydra.sina.com.cn

address: 218.30.108.189

name: 

hydra.sina.com.cn

address: 218.30.108.190

name: 

hydra.sina.com.cn

address: 218.30.108.191

最後要單獨說明一下,dns預設使用埠是udp53 不是tcp,看下面

[root@ncunicom sysconfig]# iptables -l -n

chain input (policy accept)

target 

prot opt source 

destination 

accept 

all  --  0.0.0.0/0 

0.0.0.0/0 

state related,established

accept 

icmp --  0.0.0.0/0 

0.0.0.0/0 

accept 

all  --  0.0.0.0/0 

0.0.0.0/0 

accept 

tcp  --  0.0.0.0/0 

0.0.0.0/0 

state new tcp dpt:22

accept 

tcp  --  0.0.0.0/0 

0.0.0.0/0 

state new tcp dpt:21

accept 

tcp  --  0.0.0.0/0 

0.0.0.0/0 

state new tcp dpt:20

accept 

tcp  --  0.0.0.0/0 

0.0.0.0/0 

state new tcp dpt:53

accept 

udp  --  0.0.0.0/0 

0.0.0.0/0 

udp dpt:53

reject 

all  --  0.0.0.0/0 

0.0.0.0/0 

reject-with icmp-host-prohibited

chain forward (policy accept)

target 

prot opt source 

destination 

reject 

all  --  0.0.0.0/0 

0.0.0.0/0 

reject-with icmp-host-prohibited

chain output (policy accept)

target 

prot opt source 

destination 

起作用的是這條:accept 

udp  --  0.0.0.0/0 

0.0.0.0/0 

udp dpt:53

iptables限制訪問

檢視規則 iptables l input line numbers 開放指定的埠 iptables a input p tcp dport 80 j accept 禁止指定埠 iptables a input p tcp dport 80 j drop 拒絕所有埠 iptables a input...

iptables開啟和關閉

檢視iptables規則的話,就用iptables l這個命令就好了 ok 清除iptables規則的話,用iptables f that s aaaaalllllll 關閉,可以有兩種命令,一種是敲擊 etc init.d iptables stop 另一種是 services iptables ...

iptables 訪問策略筆記

linux 2.4之後的防火牆iptables,iptables由3個表filter,nat,mangle組成,主要實驗了filter表,這個表是用來過濾資料報的,有三個鏈input,output,forward。配置防火牆策略有固定的格式 iptables 表名 鏈名 匹配條件 動作 t 表名 預...