Il firewall sta ancora bloccando la porta 53 nonostante l'elenco altrimenti?

8

Ho 3 nodi con praticamente le stesse regole iptables caricate da uno script bash, ma un nodo particolare sta bloccando il traffico sulla porta 53 nonostante l'elenco lo accetti:

$ iptables --list -v

Catena INPUT (pacchetti DROP 8886 di politica, 657K byte)
 pkts byte target prot opt ​​in out destinazione di origine         
    0 0 ACCETTA tutto - lo ovunque in qualsiasi luogo            
    2 122 ACCEPT icmp: qualsiasi richiesta ovunque, richiesta echo icmp 
20738 5600K ACCETTANO tutto - ovunque, ovunque e ovunque siano CORRELATI, STABILITI 
    0 0 ACCEPT tcp - eth1 ovunque ovunque node1.com multiport dports http, smtp 
    0 0 ACCETTA udp - eth1 ovunque ns.node1.com udp dpt: dominio 
    0 0 ACCETTA tcp - eth1 ovunque ovunque ns.node1.com tcp dpt: dominio 
    0 0 ACCETTA tutto - eth0 qualsiasi nodo2. backend ovunque            
   21 1260 ACCEPT all - eth0 any node3.backend ovunque            
    0 0 ACCETTA tutto - eth0 qualsiasi nodo4. backend ovunque            

Chain FORWARD (politica DROP 0 pacchetti, 0 byte)
 pkts byte target prot opt ​​in out destinazione di origine         

OUTPUT a catena (politica ACCETTA pacchetti 15804, 26 M byte)
 pkts byte target prot opt ​​in out destinazione di origine

nmap -sV -p 53 ns.node1.com // Dal server remoto

Avvio di Nmap 4.11 (http://www.insecure.org/nmap/) alle 24/02/2011 11:44 EST
Porti interessanti su ns.node1.com (1.2.3.4):
VERSIONE DEL SERVIZIO DI STATO PORTUALE
Dominio filtrato 53 / tcp

Nmap terminata: 1 indirizzo IP (1 host attivo) scansionato in 0,336 secondi

Qualche idea?

Grazie

domain-name-system  firewall  iptables 
Tom
fonte

Risposte:

3

Ho notato che zero pacchetti hanno effettivamente raggiunto le tue iptablesregole ACCEPT per DNS. Penso che sia probabile che le tue iptablesregole specifichino una combinazione incoerente di condizioni che non corrispondono mai alle query DNS in arrivo.

Nel tuo caso, le tue regole DNS ACCEPT specificano che l'interfaccia in arrivo deve essere eth1e l'indirizzo IP di destinazione deve essere risolto ns.node1.com. È necessario verificare se le query DNS in arrivo ns.node1.compossono mai arrivare attraverso l' eth1interfaccia di rete.

Un'altra possibilità è che sia presente un altro filtro pacchetti tra il client di prova e il server che blocca i pacchetti DNS.

Steven Monday
fonte
Grazie, esaminerò questo. La porta si sblocca quando interrompo iptables, che esclude un filtro di pacchetti sopra il mio server causando il problema.
Tom,
Dopo aver rimosso tutte le regole del firewall tranne iptables -A INPUT -i eth1 -j ACCETTA la porta è ancora bloccata. Quando smetto iptables è aperto. Qualche idea adesso?
Tom,
@Tom: Chiaramente, i pacchetti di test non raggiungono la regola ACCEPT, altrimenti la porta non verrebbe bloccata. La conclusione più probabile è che i pacchetti di test non arrivano eth1. Sei sicuro che eth1è dove dovrebbero arrivare?
Steven lunedì
Non sono sicuro, ma spiegherò la mia configurazione: eth0 ha l'IP privato ed eth1 ha l'IP principale, eth1: 0 è il nameserver (e la destinazione desiderata per i pacchetti) e eth1: 1 è per nginx. I miei altri 2 server hanno interfacce e alias di interfaccia identici. L'unica differenza che mi viene in mente è eth1: 0 sugli altri 2 server sono per i nameserver slave e eth1: 0 su questo server è per il nameserver principale. Ciò fornisce qualche intuizione? Apprezzo il tuo aiuto: questo mi sta davvero uccidendo.
Tom,
Dovrei menzionare, ho sempre avuto queste regole standard nello script bash prima e dopo le regole per controllare i servizi: iptables -F; iptables -Z; iptables -A INPUT -i lo -j ACCEPT; iptables -A INPUT -p icmp -m icmp -icmp-tipo echo-request -j ACCEPT; iptables -A INPUT -m state --state STTABLISHED, RELATED -j ACCEPT; ## regole per controllare i servizi qui ## iptables -P OUTPUT ACCEPT; iptables -P INPUT DROP; iptables -P FORWARD DROP;
Tom,
3

Probabilmente la porta tcp è bloccata da un altro firewall. Utilizzare tcpdump / Wireshark per eseguire il debug del problema.

Da me:

nmap -sV -p 53 x.x.x.x

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-25 02:32 YEKT
Interesting ports on x.x.x.x:
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND Not available
ooshro
fonte
1
Quando interrompo iptables la porta si apre.
Tom,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.