Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: После применения ряда правил iptables перестали резолвиться внешние хосты  (Прочитано 67614 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Kahooli

  • Автор темы
  • Новичок
  • *
  • Сообщений: 24
    • Просмотр профиля
Здравствуйте. Возникла следующая проблема с Ubuntu server 22.04 - при отключённом файрволе всё функционировало как надо, но после задания в iptables следующих правил:

iptables -P INPUT DROP;

iptables -A INPUT -i lo -j ACCEPT;
iptables -A INPUT -p icmp -j ACCEPT;

iptables -A INPUT -p tcp --dport 22 -j ACCEPT;
iptables -A INPUT -p tcp --dport 21 -j ACCEPT;

iptables -A INPUT -p tcp --dport 53 -j ACCEPT;
iptables -A INPUT -p udp --dport 53 -j ACCEPT;

iptables -A INPUT -p tcp --dport 80 -j ACCEPT;
iptables -A INPUT -p tcp --dport 443 -j ACCEPT;
iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT;

iptables -A INPUT -p udp --dport 137 -j ACCEPT;
iptables -A INPUT -p tcp --dport 137 -j ACCEPT;
iptables -A INPUT -p udp --dport 138 -j ACCEPT;
iptables -A INPUT -p tcp --dport 139 -j ACCEPT;
iptables -A INPUT -p tcp --dport 445 -j ACCEPT;

iptables -A INPUT -p tcp --dport 25 -j ACCEPT;
iptables -A INPUT -p tcp --dport 465 -j ACCEPT;
iptables -A INPUT -p tcp --dport 587 -j ACCEPT;
iptables -A INPUT -p tcp --dport 110 -j ACCEPT;
iptables -A INPUT -p tcp --dport 995 -j ACCEPT;
iptables -A INPUT -p tcp --dport 143 -j ACCEPT;
iptables -A INPUT -p tcp --dport 993 -j ACCEPT;
iptables -A INPUT -p tcp --dport 8383 -j ACCEPT;
iptables -A INPUT -p tcp --dport 989 -j ACCEPT;
iptables -A INPUT -p tcp --dport 990 -j ACCEPT;

случилась такая неприятность:
root@solkom:/home/main_admin# systemctl status bind9
● named.service - BIND Domain Name Server
     Loaded: loaded (/lib/systemd/system/named.service; enabled; vendor preset: enabled)
     Active: active (running) since Fri 2022-11-25 14:15:53 MSK; 17s ago
       Docs: man:named(8)
    Process: 14860 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=0/SUCCESS)
   Main PID: 14861 (named)
      Tasks: 14 (limit: 18785)
     Memory: 8.8M
        CPU: 44ms
     CGroup: /system.slice/named.service
             └─14861 /usr/sbin/named -u bind

ноя 25 14:15:53 solkom named[14861]: zone localhost/IN: loaded serial 2
ноя 25 14:15:53 solkom named[14861]: zone 255.in-addr.arpa/IN: loaded serial 1
ноя 25 14:15:53 solkom named[14861]: zone 127.in-addr.arpa/IN: loaded serial 1
ноя 25 14:15:53 solkom named[14861]: all zones loaded
ноя 25 14:15:53 solkom named[14861]: running
ноя 25 14:15:55 solkom named[14861]: timed out resolving './DNSKEY/IN': 8.8.8.8#53
ноя 25 14:15:55 solkom named[14861]: managed-keys-zone: Unable to fetch DNSKEY set '.': timed out
ноя 25 14:15:57 solkom named[14861]: timed out resolving './NS/IN': 192.5.5.241#53
ноя 25 14:16:01 solkom named[14861]: timed out resolving './NS/IN': 199.9.14.201#53
ноя 25 14:16:03 solkom named[14861]: resolver priming query complete: timed out
В инете по этому поводу только советы править конфигурационные файлы, но тут-то при удалении этих правил всё снова работает...
Такое впечатление что закрылся какой-то порт, но блин какой? Слушаются 53 и 953, чего-то не хватает?
« Последнее редактирование: 25 Ноября 2022, 17:00:08 от Kahooli »

Оффлайн Usermaster

  • Старожил
  • *
  • Сообщений: 1900
    • Просмотр профиля
Чую по умолчанию для входящих DROP?
Покажите
sudo iptables -SАга, уже вижу, первой строчкой.

Если по умолчанию для всех входящих правил стоит DROP, без такой строчки вначале, DNS работать не будет.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;
Кстати опция считается устаревшей.
Так рекомендуется, хотя не обязательно.
sudo iptables -I INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT;
« Последнее редактирование: 28 Ноября 2022, 16:52:58 от Usermaster »

Оффлайн Kahooli

  • Автор темы
  • Новичок
  • *
  • Сообщений: 24
    • Просмотр профиля
Чую по умолчанию для входящих DROP?
Покажите
sudo iptables -SАга, уже вижу, первой строчкой.

Если по умолчанию для всех входящих правил стоит DROP, без такой строчки вначале, DNS работать не будет.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;
Кстати опция считается устаревшей.
Так рекомендуется, хотя не обязательно.
sudo iptables -I INPUT -m conntrack -ctstate ESTABLISHED -j ACCEPT;
Спасибо за ответ! По дефолту (до ввода правил) для всех входящих ACCEPT:
main_admin@solkom:~$ sudo iptables -S
[sudo] password for main_admin:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
Вот что выдаётся:
main_admin@solkom:~$ sudo iptables -I INPUT -m conntrack -ctstate ESTABLISHED -j ACCEPT;
iptables v1.8.7 (nf_tables): -c packet counter not numeric
Try `iptables -h' or 'iptables --help' for more information.
После ввода сразу за запретом всех входящих iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT проблема решилась. Большое человеческое спасибо!
« Последнее редактирование: 28 Ноября 2022, 15:59:16 от Kahooli »

Оффлайн ALiEN175

  • Администратор
  • Старожил
  • *
  • Сообщений: 5760
  • Vamos a Bailar
    • Просмотр профиля
второй дефис пропущен
sudo iptables -I INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT;
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн Usermaster

  • Старожил
  • *
  • Сообщений: 1900
    • Просмотр профиля
Спасибо, опечаточка, поправил.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28154
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Usermaster

  • Старожил
  • *
  • Сообщений: 1900
    • Просмотр профиля
Неа, здесь она вроде как не нужна.
sudo iptables -I INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT;
Настройку сам пробовал, без неё работает.
Когда изучал iptables, много мануалов "выкурил", нигде RELATED не встречал.  :)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28154
    • Просмотр профиля
Нужна. FTP, UDP, даже ICMP (например, blackhole detection) без неё могут не работать нормально.

Пользователь добавил сообщение 29 Ноября 2022, 11:53:59:
@TC iptables-save уже покажите.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.023 секунд. Запросов: 21.