[问题求助][Fedora] 学iptables, 关不掉dns [复制链接]

xp  
IP:  192..168.1.122 /24    健康
d.ns: 192.168.1.10域名

fc5
IP:  .192.168.1.10 /24域名
做了dns， www.jmq.com---192..16.8.1.10            杀毒

fc5上做了
iptables -F
iptables -X
iptables. -A INPUT -p tcp --dport 53 -j DRO.P    外汇
iptables -A I.NPUT -p udp --dp.ort 53 -j DROP.

xp上
p.ing www.jmq.com 仍然通.
*.****dns都关了，应该ping不通啊****(广告)

nslooup www.jmq.co.m    外汇
name: www..jmq.com.
address: 1.92.168.1.10外贸
*******.***有人说有这个命令.，试了下，一样****           建材
-----------------------------.-----.--------------------------------    健康
规则上加了 -s 1.92.1.68.1.122    .
  加了-d 192.168..1.10  也一样虚拟主机
哪里不对？
----------.----------------------------.-------------------------    外汇
其它地方的设置应该是没问题的
我加了 iptables .-A INPUT -p ICMP -j DROP .  就ping不通了(广告)

你可能誤解意思...

對外是走 OUTPUT，你怎麼設定到 INPUT chain 了呢

外面的dns请求发进来，所以是input啊，
fc5接收，解析dns请求，再将信息返回，这个才应该是output吧
-------------------------------
外面的dns请求发进来，经iptables的过滤，发现是port是53的dns请求，所以drop,所以 ping www.jmq.com不应该通哪？
我是这样理解的！

待会儿用out试试看

問題似乎有點複雜？而且誤解你意思。

若你是於那台 linux 機器自己進行測試，那是表示該機器要主動發出對外查詢，這當然是本機走 OUTPUT chain 進行該動作。

至於你說外面連入，那是說若你要架設 dns 服務，但是拒絕外面的 dns server 來你的 dns 機器查詢 domain name 資料才是使用 INPUT。

你用 ping 測試是有點問題的，首先 ping 是使用 echo request 該 icmp 封包測試，這個有點怪... 另外 windows 有跑 dns cache 服務，所以查過資料都會 cache 住。實際方式你應該是使用 nslookup 測試是否可以查詢到就可以了...

windows 上 cache 要清除可以使用 ipconfig /flushdns，只是實際上你用 nslookup 測試比較正確。

最後可以把 linux 主機跑 iptables-save 輸出貼來看比較清楚問題點。

缓存？ telnet 192.168.1.10 53 试试~

要在forward链上做限制的

哦？

iptables -A INPUT -s 192.168.1.2  -j DROP 後
還可以解析嗎？

QUOTE:原帖由 kns1024wh 于 2009-4-18 21:36 发表
要在forward链上做限制的

晕了吧又？
访问本机的怎么可能走到 FORWARD 去？