[Fedora] 学iptables,关不掉dns|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线xilao.

初中三年级

发帖: 2021

C币: -199155

威望: 371

贡献值: 1

银元: -2

铜钱: 4436

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

xp
IP:  192.168.1.122 /.24[成人用品]
dns: 192.168.1.1.0    外汇

fc5
IP.:  192.168.1.10 /24    健康
做了.dns， www.jmq.com---1.92.168.1.10域名

fc5上做了
iptables -F
iptables -X
iptables -A INPUT. -p tcp --dport 5.3 -j DROP.
iptables -A INPUT -p udp .--dport 53 -j DRO.P.

xp上
ping www.jmq.c.om 仍然通    美容
*****dns都关了，应该ping不通啊.****健康

nsloo.up www.jmq.com.
name: ww.w.jmq.com电影
add.ress: 192.168.1.10              乙肝
**********有人说有这个.命令，试了下，一样*.***教育
-------------.----.-------------------------------------------------教育
规则上.加了 -s 192.168.1..122    外贸
  加了-.d 192.168.1.10  也一样             电子
哪里不对？
----------.-----------------------------.------------------------虚拟主机
其它地方的设置应该是没问题的
我加了 iptables -A. INPUT -p ICMP -j DR.OP   就ping不通了            杀毒

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线ever66.

初中三年级

发帖: 2054

C币: -235385

威望: 386

贡献值: 1

银元: -5

铜钱: 4642

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

Re:[Fedora]

你可能誤解意思...

對外是走 OUTPUT，你怎麼設定到 INPUT chain 了呢

离线hubbetter.

初中三年级

发帖: 2010

C币: -152659

威望: 365

贡献值: 1

银元: -5

铜钱: 4604

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

Re:[Fedora]

外面的dns请求发进来，所以是input啊，
fc5接收，解析dns请求，再将信息返回，这个才应该是output吧
-------------------------------
外面的dns请求发进来，经iptables的过滤，发现是port是53的dns请求，所以drop,所以 ping www.jmq.com不应该通哪？
我是这样理解的！

待会儿用out试试看

离线qixiaodong.

初中三年级

发帖: 2017

C币: -193422

威望: 402

贡献值: 1

银元: -3

铜钱: 4610

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

Re:[Fedora]

問題似乎有點複雜？而且誤解你意思。

若你是於那台 linux 機器自己進行測試，那是表示該機器要主動發出對外查詢，這當然是本機走 OUTPUT chain 進行該動作。

至於你說外面連入，那是說若你要架設 dns 服務，但是拒絕外面的 dns server 來你的 dns 機器查詢 domain name 資料才是使用 INPUT。

你用 ping 測試是有點問題的，首先 ping 是使用 echo request 該 icmp 封包測試，這個有點怪... 另外 windows 有跑 dns cache 服務，所以查過資料都會 cache 住。實際方式你應該是使用 nslookup 測試是否可以查詢到就可以了...

windows 上 cache 要清除可以使用 ipconfig /flushdns，只是實際上你用 nslookup 測試比較正確。

最後可以把 linux 主機跑 iptables-save 輸出貼來看比較清楚問題點。

离线on99.

初中三年级

发帖: 2137

C币: -60177

威望: 414

贡献值: 1

银元: -3

铜钱: 4822

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

Re:[Fedora]

缓存？ telnet 192.168.1.10 53 试试~

离线儍儍鈺藸.

初中三年级

发帖: 2037

C币: -235268

威望: 387

贡献值: 1

银元: 0

铜钱: 4662

人人网人气币: 0

只看该作者 5楼发表于: 2010-04-13

Re:[Fedora]

再重述一下了
xp系统:
IP:  192.168.1.2/24
dns: 192.168.1.10
fc5(vm系统，桥接模式)
IP： 1912.168.1.10/24
配置了dns服务,  www.jmq.com解析到192.168.1.10

xp中执行 nslookup www.jmq.com
    name: www.jmq.com
    address: 192.168.1.10
解析成功
-----------------------------
接下来实验fc5的iptables的使用，禁止192.168.1.2的dns请求

终端中做如下操作
iptables -F
iptables -X
先清了所有的设置

iptables -A INPUT -s 192.168.1.2 -p tcp --dport -j DROP
iptables -A INPUT -s 192.168.1.2 -p udp --dport -j DROP

iptables -L -n
target       prot   opt  source         destination
DROP         tcp    --    192.168.1.2   0.0.0.0/0      tcp  dpt:53
DROP         udp    --    192.168.1.2   0.0.0.0/0      udp  dpt:53

这时，在xp中先做下 ipconfig/flushdns
再做下 nslookup www.jmq.com
期望不通，但仍通

name:  www.jmq.com
address:  192.168.1.10

还有，那个telnet  192.168.1.10 53 不管什么时候做好像都没反应啊

离线hongjing123.

初中三年级

发帖: 2138

C币: -235030

威望: 440

贡献值: 1

银元: 0

铜钱: 4983

人人网人气币: 0

只看该作者 6楼发表于: 2010-04-13

Re:[Fedora]

要在forward链上做限制的

离线qishudj.

初中二年级

发帖: 1839

C币: -61332

威望: 327

贡献值: 1

银元: -1

铜钱: 4088

人人网人气币: 0

只看该作者 7楼发表于: 2010-04-13

Re:[Fedora]

哦？

iptables -A INPUT -s 192.168.1.2 -j DROP 後
還可以解析嗎？


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助][Fedora] 学iptables, 关不掉dns [复制链接]