จะเปิด port udp 53 เพื่อใช้งาน dns server อย่างไรค

[noktualek]

ตอนนี้ลง bind บน server เรียบร้อยแล้วแต่ติดปัญหว่าเครื่อง Client หากจะเข้าใช้งาน  เครื่อง Server ต้อง ทำการปิดการทำงานของ firewall ทุกครั้งไป
# service iptables stop

ไม่ทราบว่าหากต้องการเปิด port ให้กับ udp 53 จะต้องใช้คำสั่ง iptables อย่างไรบ้างครับ

ข้อมูล Server
- centos 5.5
- eth 0 192.168.110.12/24       มี lan ขาเดียวครับ

ขอบคุณครับ

[sysadm]

 vim /etc/sysconfig/iptables
อันนี้เป็นคาเดิม
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -s 172.16.4.0/25 -j ACCEPT
-A RH-Firewall-1-INPUT -s 203.170.177.196 -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

DNS รุ่นใหม่ๆ บางครั้งต้องใช้ TCP ด้วยครับ ควร allow TCP/UDP ครับ

[noktualek]

ขอบคุณครับ

แล้วหากเราเปลี่ยนแปลงค่าดังกล่าว พอมีเทคนนิคในการ reload ค่า config โดยไม่ต้อง reboot ป่าวครับ

ขอบคุณครับ
Noktualek

[sysadm]

ขอบคุณครับ

แล้วหากเราเปลี่ยนแปลงค่าดังกล่าว พอมีเทคนนิคในการ reload ค่า config โดยไม่ต้อง reboot ป่าวครับ

ขอบคุณครับ
Noktualek

#service iptables restart

[noktualek]

ขอบคุณครับ

แล้วหากเราเปลี่ยนแปลงค่าดังกล่าว พอมีเทคนนิคในการ reload ค่า config โดยไม่ต้อง reboot ป่าวครับ

ขอบคุณครับ
Noktualek

#service iptables restart

โอ้ ลืมนึกไปเลย....
ขอบคุณครับ

[noktualek]

 ผมลองทำแล้วเกิด FAILED มา ยังไม่เข้าใจว่าทำผิดตรงไหน หรือเป็น bug ครับ

# service iptables start
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules: iptables-restore: line 29 failed
                                                           [FAILED]


 

  1 # Firewall configuration written by system-config-securitylevel
  2 # Manual customization of this file is not recommended.
  3 *filter
  4 :INPUT ACCEPT [0:0]
  5 :FORWARD ACCEPT [0:0]
  6 :OUTPUT ACCEPT [0:0]
  7 :RH-Firewall-1-INPUT - [0:0]
  8 -A INPUT -j RH-Firewall-1-INPUT
  9 -A FORWARD -j RH-Firewall-1-INPUT
 10 -A RH-Firewall-1-INPUT -i lo -j ACCEPT
 11 -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
 12 -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
 13 -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
 14 -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
 15 -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
 16 -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
 17 -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 18 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
 19 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
 20 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
 21 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p udp --dport 53 -j ACCEPT
 22 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
 23 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
 24 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
 25 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
 26 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
 27 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
 28 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
29 COMMIT


Line 29 ก็ไม่ได้ไปเปลี่ยนแปลงอะไรเลย

[noktualek]

เจอแล้ว

เดิม
21 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p udp --dport 53 -j ACCEPT

แก้เป็น
21 -A RH-Firewall-1-INPUT -m state --state NEW -m upd -p udp --dport 53 -j ACCEPT


ลองใหม่
# service iptables restart
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]ntrack_ftp


แอบสงสัย
ip_conntrack_netbios_n[  OK  ]ntrack_ftp  แบบนี้ปกติป่าวครับ

ขอบคุณสำหรับคำแนะนำนะครับ

[sysadm]

ครับ โอเคแล้วครับ