iptables 设定后居然无法解析dns 帮忙看下!!!谢谢! 关掉就可以通讯!
*filter
:INPUT DROP [811:82038]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [263:23872]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
-A INPUT -p udp -m udp --dport 6060 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 6060 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
于 2014-03-08 16:43:33发表:
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT应改成
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
本地请求DNS解析时向DNS服务器发解析请求,DNS默认的解析响应是通过53端口,因为INPUT是DROP所以要允许 DNS解析响应的数据包通过,此类数据包source 端口就是53 因此是--sport,如果你的主机是DNS服务器时就应该是--dport
chenzhj 于 2009-05-13 11:18:33发表:
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT应改成
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
angel.wing 于 2009-05-11 18:02:13发表:
每次的连接请求都是有去有回的 支持楼上的
marco.chan 于 2009-05-11 17:21:30发表:
dport=destination port
sport=source port
一个是来源端口,一个是目的端口!
INPUT是从外部到本机,说的是来源!
OUTPUT是本机到外部,说的是目的地!
caidanfeng 于 2009-05-11 15:50:43发表:
按照楼上的各位 加了udp 53还是不通(OUTPUT默认是accept)
-A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
后来看到说 要改成--sport 果然通了
-A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
问题来了 我看到网上都是--dport的 怎么--sport居然可以 允许外部访问内部应该是 目标是本地
有点迷糊了..........
angel.wing 于 2009-05-07 18:27:42发表:
貌似你都开的tcp 只有一个6060开的udp DNS 需要开启tcp和udp协议
marco.chan 于 2009-05-07 18:15:30发表:
1、加上UDP协议。
2、如果是一块以上网卡,增加-i ethX参数。
Version 于 2009-05-07 18:08:30发表:
路过