Как закрыть 53 порт из вне?

@bronepoezd27 · Регистрация: 21.08.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте!
Имеется Debian.
Как можно в iptables запретить 53 порт, чтобы из вне достучаться нельзя было? Но при этом, чтобы все внутри сети и в интернет резолвилось?
Просто когда я там ничинаю в iptables играться, у меня интернет перестает работать, точнее он работает, но если попробовать по dns имени сайт набрать, то не загрузится.
Какую настройку здесь необходимо сделать?

Velesthau · 21.08.2015, 11:22

Сообщение от bronepoezd27

Как можно в iptables запретить 53 порт, чтобы из вне достучаться нельзя было?

Если ты закрываешь локальный 53 порт на входящие соединения, то запросы к DNS от твоего хоста должны работать нормально, потому что ты подключаешься к удаленному 53-му порту. Покажи свои правила, при которых не резолвятся имена и инфу о днс у тебя в сети.

@bronepoezd27 · 21.08.2015, 11:28 **[ТС]**

Давай я покажу лучше свои сейчас настройки по поводу 53 порта, на которых все отрыто еще:

Code
1
2
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Как их нужно видоизменить?

Velesthau · 21.08.2015, 12:51

Если у тебя для цепочки INPUT стоит policy DROP, то просто убери эти правила, тогда локальный порт 53 будет закрыт для входящих.

Добавлено через 35 секунд

Сообщение от bronepoezd27

по dns имени сайт набрать, то не загрузится

А какой ты DNS в своей сети используешь? Где он у тебя сконфигурен?

@bronepoezd27 · 21.08.2015, 13:02 **[ТС]**

Он у меня сконфигурирован на этой же машине (debian). bind9
Немного не понял по поводу цепочек INPUT .... Можно пожалуйста пояснить

Velesthau · 21.08.2015, 13:08

Сообщение от bronepoezd27

Он у меня сконфигурирован на этой же машине (debian). bind9

Тогда укажи в своих правилах подсеть, для которой ты делаешь ACCEPT. Тогда он будет пускать подключения только из конкретной подсети. Конечно, если для цепочки INPUT policy стоит DROP.

Сообщение от bronepoezd27

Немного не понял по поводу цепочек INPUT

У цепочек есть policy по умолчанию. Загугли iptables default chain policy и почитай.

@bronepoezd27 · 21.08.2015, 13:14 **[ТС]**

Так какой правило мне добавить в iptables? я не силен в unix... У меня подсеть 192.168.0.0/24

Velesthau · 21.08.2015, 13:19

Читаем раздел IP addresses здесь:
https://wiki.centos.org/HowTos/Network/IPTables
там прям для тебя примерчики.
Или здесь 13-е правило для примера:
http://linuxconfig.org/collect... bles-rules

Сообщение от bronepoezd27

я не силен в unix...

Никогда не поздно начать учиться!

@bronepoezd27 · 21.08.2015, 13:47 **[ТС]**

Не знаю насколько правильно сделал, вот эти правила вообще закомметировал:

Code
1
2
#iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

А вот это добавил:

Code
1
iptables -A INPUT -i eth2 -s 192.168.0.0/24 -j ACCEPT

И вроде 53 порт снаружи закрылся. Я правильно все сделал?

Velesthau · 21.08.2015, 13:48

Думаю, да. Я последний раз очень давно имел дело с iptables, поэтому могу только на вид сказать

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@bronepoezd27 0 / 0 / 0 Регистрация: 21.08.2015 Сообщений: 16

	Как закрыть 53 порт из вне? 21.08.2015, 11:04. Показов 6461. Ответов 9 Метки нет (Все метки) Здравствуйте! Имеется Debian. Как можно в iptables запретить 53 порт, чтобы из вне достучаться нельзя было? Но при этом, чтобы все внутри сети и в интернет резолвилось? Просто когда я там ничинаю в iptables играться, у меня интернет перестает работать, точнее он работает, но если попробовать по dns имени сайт набрать, то не загрузится. Какую настройку здесь необходимо сделать? 0

@bronepoezd27 0 / 0 / 0 Регистрация: 21.08.2015 Сообщений: 16
	21.08.2015, 13:02 [ТС]
	Он у меня сконфигурирован на этой же машине (debian). bind9 Немного не понял по поводу цепочек INPUT .... Можно пожалуйста пояснить 0

@bronepoezd27 0 / 0 / 0 Регистрация: 21.08.2015 Сообщений: 16
	21.08.2015, 13:14 [ТС]
	Так какой правило мне добавить в iptables? я не силен в unix... У меня подсеть 192.168.0.0/24 0

Velesthau 529 / 432 / 159 Регистрация: 25.11.2014 Сообщений: 1,662
	21.08.2015, 13:48
	Думаю, да. Я последний раз очень давно имел дело с iptables, поэтому могу только на вид сказать 0