https://www.opennet.me/openforum/vsluhforumID1/80355.html арод помогите на серваке установлен bind без включеного фарвола iptables зоны резолвяться нормально кактолько включаю iptables коннект к серваку проходит но на резолв имен пишет таймаут <br>вот конфиг . подскажите плиз в чем ошибка? komplexb:~ # iptables -L<br>Chain INPUT (policy DROP)<br>target prot opt source destination<br>ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED<br>ACCEPT tcp -- anywhere anywhere tcp flags:ACK/ACK<br>ACCEPT tcp -- anywhere anywhere tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp<br>ACCEPT tcp -- 213.221.6.0/24 anywhere tcp multiport dports ssh,44337,ndmp,mysql<br>ACCEPT tcp -- 10.111.0.0/16 anywhere tcp multiport dports ssh,44337,ndmp,mysql<br>ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535<br>ACCEPT icmp -- anywhere anywhere icmp echo https://www.opennet.me/openforum/vsluhforumID1/80355.html#8 Thu, 22 May 2008 10:25:53 GMT Вот теперь вам будет видна причина почему предпочтительней iptables-save. Обратите внимание на следущую строчку в начальном сообщении:<br>ACCEPT all -- anywhere anywhere<br>Исходя из нее можно сделать вывод что разрешен весь INPUT. Однако на самом деле она относится к следующему правилу:<br>-A INPUT -i lo -j ACCEPT<br>То есть на самом деле все разрешено только для loopback. Сделать такой вывод из информации в начальном сообщении просто невозможно. <br> https://www.opennet.me/openforum/vsluhforumID1/80355.html#7 Tue, 20 May 2008 10:04:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения <br>&gt;&gt;на входящие запросы к ДНС серверу нет. <br>&gt;<br>&gt;ACCEPT tcp -- anywhere <br>&gt; anywhere <br>&gt; <br>&gt;tcp multiport dports ftp-data,ftp,smtp,ni-ftp, domain <br>&gt; ,http,pop3,ident,imap,https,pptp <br>&gt;<br>&gt;а разве слово domain неразришает в этом правеле? <br><br>Запросы к вашему серверу по udp делаются, а не по tcp. Tcp в этом правиле разрешает трансфер зоны.<br> https://www.opennet.me/openforum/vsluhforumID1/80355.html#6 Tue, 20 May 2008 09:28:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; <br>&gt;&gt;tcp multiport dports ftp-data,ftp,smtp,ni-ftp, domain <br>&gt;&gt; ,http,pop3,ident,imap,https,pptp <br>&gt;&gt;<br>&gt;&gt;а разве слово domain неразришает в этом правеле? <br>&gt;<br>&gt;Протокол должен быть udp. <br>&gt;<br>&gt;angra правельно сказал. Правила не красивые, но с ними DNS должен работать. <br>&gt;Покажите вывод iptables-save. <br><br>Добавил UDP 53 порт и все заработало!<br>Спасибо!<br><br>komplexb:~ # iptables-save<br># Generated by iptables-save v1.3.5 on Tue May 20 15:29:08 2008<br>*filter<br>:INPUT DROP [8:1081]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [10110:13973110]<br>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT<br>-A INPUT -p tcp -m tcp -m multiport --dports 20,21,25,47,53,80,110,113,143,443,1723 -j ACCEPT<br>-A INPUT -s 213.221.6.0/255.255.255.0 -p tcp -m tcp -m multiport --dports 22,44337,10000,3306 -j ACCEPT<br>-A INPUT -s 10.111.0.0/255.255.0.0 -p tcp -m tcp -m multiport --dports 22,44337,10000,3306 -j ACCEPT<br>-A INPUT -p udp -m udp --spo https://www.opennet.me/openforum/vsluhforumID1/80355.html#5 Tue, 20 May 2008 08:23:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения <br>&gt;&gt;на входящие запросы к ДНС серверу нет. <br>&gt;<br>&gt;ACCEPT tcp -- anywhere <br>&gt; anywhere <br>&gt; <br>&gt;tcp multiport dports ftp-data,ftp,smtp,ni-ftp, domain <br>&gt; ,http,pop3,ident,imap,https,pptp <br>&gt;<br>&gt;а разве слово domain неразришает в этом правеле? <br><br>Протокол должен быть udp.<br><br>angra правельно сказал. Правила не красивые, но с ними DNS должен работать. Покажите вывод iptables-save.<br> https://www.opennet.me/openforum/vsluhforumID1/80355.html#4 Tue, 20 May 2008 07:29:04 GMT &gt;Лучше бы конечно вывод iptables-save, так как без -v вывод iptales -L <br>&gt;не полон, но судя по имеющемуся проблем быть не должно, а <br>&gt;именно: <br>&gt;1. В цепочке INPUT предпоследнее правило делает все остальные и политику DROP <br>&gt;несостоятельными, все равно все будет ACCEPT <br>&gt;2. В цеочке OUTPUT дефолтным стоит ACCEPT и под дропающие правила dns <br>&gt;трафик не попадает. <br>&gt;<br>&gt;Возможно вывод iptables-save поможет найти проблему. Ну и наконец всегда есть tcpdump <br>&gt;для тонкой диагностики. <br><br>вот полный вывод <br>а то что предпоследние касаеться только интерфейса lo<br>Chain INPUT (policy DROP 103K packets, 4305K bytes)<br> pkts bytes target prot opt in out source destination <br>2979K 184M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED<br>17580 996K ACCEPT tcp -- any any anywhere anywhere tcp flags:ACK/ACK<br>39798 2032K ACCEPT tcp -- any any anywhere anywhere tcp multiport d https://www.opennet.me/openforum/vsluhforumID1/80355.html#3 Tue, 20 May 2008 07:22:54 GMT &gt;&gt;ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535<br>&gt;<br>&gt;Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения <br>&gt;на входящие запросы к ДНС серверу нет. <br><br>ACCEPT tcp -- anywhere anywhere tcp multiport dports ftp-data,ftp,smtp,ni-ftp, domain ,http,pop3,ident,imap,https,pptp<br><br>а разве слово domain неразришает в этом правеле?<br> https://www.opennet.me/openforum/vsluhforumID1/80355.html#2 Tue, 20 May 2008 06:00:11 GMT &gt;ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535<br><br>Вот это разрешает ответы ДНС серверов на запросы вашего сервера. А разрешения на входящие запросы к ДНС серверу нет.<br> https://www.opennet.me/openforum/vsluhforumID1/80355.html#1 Mon, 19 May 2008 22:50:39 GMT Лучше бы конечно вывод iptables-save, так как без -v вывод iptales -L не полон, но судя по имеющемуся проблем быть не должно, а именно:<br>1. В цепочке INPUT предпоследнее правило делает все остальные и политику DROP несостоятельными, все равно все будет ACCEPT<br>2. В цеочке OUTPUT дефолтным стоит ACCEPT и под дропающие правила dns трафик не попадает. <br><br>Возможно вывод iptables-save поможет найти проблему. Ну и наконец всегда есть tcpdump для тонкой диагностики. <br>