請教 Linux iptables 熟手,設定方法

linbronhom · 01:01 PM

Linux Fedora 8 IPTABLE設定值:
主機:
1. 外網只要開放 20,21,22,53,953,(ftp,ssh,mail)
2.內網只開放 445,139(smb)
3.沒有架設　NAT

問題:
1./var/log/messages 內一直出上百條以下的訊設,以下略取10條,
2.如果設了以下 IPTABLES規則,DNS 會無法運作,

請教iptables 熟手,是什麼問題,還是有更好設定的方法呢? 感恩也謝謝~

有去爬了一些文,是說要加以下的資料到 named.conf,試了之後,反而DNS 起不來
logging {
category lame-servers {null; };
category edns-disabled { null; };
};

IPTables 的設定值:
#=======================InSiteNet eth1(192.168.0.5)=====================
#------------------------------SMB ACCEPT-----------------------
-A INPUT -p tcp -i eth1 -m state --state RELATED -d 192.168.0.5 -m multiport --dports 445,139 -j ACCEPT
-A INPUT -p udp -i eth1 -m state --state RELATED -d 192.168.0.5 -m multiport --dports 445,137:138 -j ACCEPT
#=======================OutSiteNet eth0(220.128.122.86)=====================
#-----------------------SSH--------------------------------------

-A INPUT -i eth0 -p tcp -s 222.222.222.22-m multiport --dports 22 -j ACCEPT
-A INPUT -i eth0 -p udp -s 222.222.222.22 -m multiport --dports 22 -j ACCEPT
#--------------------------------------------------------------
-A OUTPUT -o eth0 -p tcp -j ACCEPT
-A OUTPUT -o eth0 -p udp -j ACCEPT

#------------------------------DNS ACCEPT
-A INPUT -p udp -m multiport --sports 53,953 -m multiport --dports 53,953 -j ACCEPT
-A INPUT -p tcp -m multiport --sports 53,953 -m multiport --dports 53,953 -j ACCEPT

#------------------------------Mail ACCEPT
-A INPUT -p tcp -i eth0 -d 222.222.222.22-m multiport --dports 110,25 -j ACCEPT
-A INPUT -p udp -i eth0 -d 222.222.222.22 -m multiport --dports 110,25 -j ACCEPT

#-----------------------------Vsftpd accept
-A INPUT -p tcp -i $EXTIF -s 220.128.122.85 --dport 21 -j ACCEPT
-A INPUT -p tcp -i $EXTIF -s 220.128.122.85 --dport 60000:60010 -j ACCEPT

#______________________Server Port 1:1023 LOG
#-A INPUT -i eth0 -p tcp -m state --state NEW,ESTABLISHED --dport 1:1023 --sport 1:65535 -j LOG
#-A INPUT -i eth0 -p udp -m state --state NEW,ESTABLISHED --dport 1:1023 --sport 1:65535 -j LOG

#---------------------------OutPut Port------------------------
-A OUTPUT -o eth0 -p tcp --sport 80 -j DROP
-A INPUT -i eth0 -p tcp -d 222.222.222.22 --dport 1024:65535 -j DROP
-A INPUT -i eth0 -p udp -d 222.222.222.22 --dport 1024:65535 -j DROP

/var/log/messages 內y 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'H.GTLD-SERVERS.NET/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'I.GTLD-SERVERS.NET/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'J.GTLD-SERVERS.NET/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'K.GTLD-SERVERS.NET/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'B.DNS.tw/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'E.DNS.tw/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'F.DNS.tw/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'G.DNS.tw/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'H.DNS.tw/AAAA' (in '.'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'fedora.mirrors.firstnetcom.com.tw.tw/A' (in 'tw'?): disabling EDNS
May 24 21:07:23 fortune-s named[6999]: too many timeouts resolving 'NS.TWNIC.NET/AAAA' (in 'NET'?): disabling EDNS
May 24 21:07:24 fortune-s named[6999]: too many timeouts resolvin

kyos0109

您不覺得 iptables過濾的條件有問題嘛!?
您的dport和sport寫在同一條規則內
那...連線時真的是照如此嘛!?^^

linbronhom

可以也.只是縮小規則的範圍,我也看很多IPTABLES技術文章,才知可以這樣設,也沒出現錯誤訊息

thomasc

看起來像是你的DNS沒有辦法對root DNS作query.

lionel_lo · 02:04 PM

iptables -A INPUT -i eth0 -p udp --sport 53 --dport 1024:65535 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 53 --dport 1024:65535 -j ACCEPT

=============
明顯的是DNS的RULE有問題
DNS INPUT改成這樣試試

參考資料
http://linux.tnc.edu.tw/techdoc/fire...les-intro.html

pcboy

把 rules 全砍了
用 X-Window 中的介面去重新設定

類似的主題
主題	主題作者	討論版	回覆	最後發表
IPtables 不管怎麼設，對方總是可以突破，到底是怎麼回事?	aerocat	-- FreeBSD & Linux 討論版	2	2010-11-21 11:47 PM
【軟體】破解T07A(T07AW)ADSL數據機(小烏龜)設定方法(含設定網路卡IP)	liou	---- ADSL 軟硬體技術	8	2008-06-08 08:17 PM
請教大家,LINUX IPTABLES 是,關重要的PORT,還是開需要的 PORT,其它全關比較好呢	linbronhom	-- FreeBSD & Linux 討論版	1	2008-05-25 03:12 PM
【求助】ADSL ROUTER(含ATU-R)設定方法?	taiwanLW	---- ADSL 軟硬體技術	0	2005-11-29 02:29 AM
請教 linux 中文輸入法去哪裡下載	cowboy_dav	-- FreeBSD & Linux 討論版	2	2002-09-02 02:13 PM

kyos0109 一起爬夜市吧!!	回覆: 請教 Linux iptables 熟手,設定方法您不覺得 iptables過濾的條件有問題嘛!? 您的dport和sport寫在同一條規則內那...連線時真的是照如此嘛!?^^
	回覆

linbronhom 會員	回覆: 請教 Linux iptables 熟手,設定方法可以也.只是縮小規則的範圍,我也看很多IPTABLES技術文章,才知可以這樣設,也沒出現錯誤訊息
	回覆

thomasc 會員	回覆: 請教 Linux iptables 熟手,設定方法看起來像是你的DNS沒有辦法對root DNS作query.
	回覆

pcboy 會員	回覆: 請教 Linux iptables 熟手,設定方法把 rules 全砍了用 X-Window 中的介面去重新設定
	回覆