UFW blockiert DNS


10

Ich konfiguriere die Sicherheit auf meinem Server. Zur Vereinfachung der Verwaltung an der Firewall habe ich das UFW installiert. Ich habe einige Einstellungen in der UFW vorgenommen und einige Ports zugelassen. Wenn ich es aktiviert habe, antworten die DNS-Dienste daher nicht.

Ich habe versucht, den Befehl DIG www.domain.com.brzum Testen des DNS auszuführen, aber es war nicht erfolgreich. Dieser Befehl wird problemlos ausgeführt, wenn die UFW deaktiviert ist. Ich habe bereits den 53-Port (TCP und UDP) zugelassen, aber der DNS funktioniert nicht.

Meine UFW-Einstellungen:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)

ufw status verbose
Veröffentlichen Sie

Hier ist die Ausgabe pastebin.com/31Asbqwb
diegoklapper

Ich habe es versucht, aber es hat nicht funktioniert.
Diegoklapper

Antworten:


12

Die vollständige korrekte Syntax sollte sein

sudo ufw allow out to any port 53

11

Ich habe dieses Problem gelöst. Ich habe den ausgehenden Port 53 zugelassen, der der DNS-Dienstport ist. Vielen Dank.

sudo ufw allow out 53

4

Erstens ufw allow dnserlaubt eingehende DNS-Anfragen, was nicht das ist, was Sie wollen.

Zweitens können Sie alle in anderen Antworten genannten Befehle befolgen (am einfachsten ufw allow out 53), aber die Reihenfolge ist wichtig . Wenn Sie also eine Verweigerungsanweisung haben, die auch DNS-Anforderungen verweigert, wenn sie ausschließlich verwendet werden, setzen Sie sie an die letzte Stelle !

Erlauben Sie also zuerst Port 53 Ihrem DNS-Server und lassen Sie später möglicherweise einige Anforderungen nicht zu.


2

Ich habe selbst an einigen Firewall-Regeln für ein anderes Projekt gearbeitet und konnte die Lösung von @ diegoklapper nicht zum Laufen bringen.

Sogar meine eigenen Versuche, sudo ufw allow dnsexpliziter zu replizieren (dh eine bestimmte Schnittstelle), schlugen fehl:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

Bis mir klar wurde, was ich falsch gemacht habe (Protokoll beachten):

sudo ufw allow in on eth0 from any to any port 53 proto udp

Hinweis: Dies gilt insbesondere für dnsmasqden Fall, dass Sie DNS-Anforderungen verarbeiten oder weiterleiten und ausgehende Anforderungen standardmäßig bereits zulässig sind.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.