UFW bloque DNS

10

Je configure la sécurité de mon serveur. Pour faciliter la gestion au niveau du pare-feu, j'ai installé l'UFW. J'ai fait quelques réglages dans l'UFW et j'ai autorisé certains ports. C'est pourquoi lorsque je l'ai activé, les services DNS ne répondent pas.

J'ai essayé d'exécuter la commande DIG www.domain.com.brpour tester le DNS mais cela n'a pas réussi. Cette commande s'exécute sans problème lorsque l'UFW est désactivé. J'ai déjà autorisé le port 53 (TCP et UDP) mais le DNS ne fonctionne pas.

Mes paramètres UFW:

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW IN    Anywhere
16/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
53                         ALLOW IN    Anywhere
465                        ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
22                         ALLOW IN    Anywhere
21/tcp (v6)                ALLOW IN    Anywhere (v6)
16/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
53 (v6)                    ALLOW IN    Anywhere (v6)
465 (v6)                   ALLOW IN    Anywhere (v6)
25/tcp (v6)                ALLOW IN    Anywhere (v6)
22 (v6)                    ALLOW IN    Anywhere (v6)
diegoklapper
la source
Publier la sortie de ufw status verbose...
jasonwryan
Voici la sortie pastebin.com/31Asbqwb
diegoklapper
Je l'ai essayé mais cela n'a pas fonctionné.
diegoklapper

Réponses:

13

La syntaxe correcte complète doit être

sudo ufw allow out to any port 53
Nesha Zoric
la source
11

J'ai résolu ce problème. J'ai autorisé le sortant pour le port 53 qui est le port de service DNS. Merci.

sudo ufw allow out 53
diegoklapper
la source
4

ufw allow dnsAutorise d' abord les demandes DNS entrantes, ce qui n'est pas ce que vous voulez.

Deuxièmement, vous pouvez suivre toutes les commandes mentionnées dans d'autres réponses (le plus facilement ufw allow out 53), mais l' ordre est important . Donc, si vous avez une instruction deny, qui refuserait également les requêtes DNS lorsqu'elles sont utilisées uniquement, mettez-la en dernier !

Autorisez donc d'abord le port 53 à votre serveur DNS et, par la suite, interdisez / refusez éventuellement certaines demandes.

rugk
la source
2

J'ai moi-même travaillé sur certaines règles de pare-feu pour un autre projet et je n'ai pas réussi à faire fonctionner la solution de @ diegoklapper.

Même mes propres tentatives de réplication sudo ufw allow dnsplus explicite (c'est-à-dire une interface spécifique) ont échoué:

sudo ufw allow in on eth0 from any to any port 53 proto tcp

Jusqu'à ce que je réalise ce que je faisais mal (notez le protocole):

sudo ufw allow in on eth0 from any to any port 53 proto udp

Remarque: Cela s'applique plus spécifiquement au dnsmasqcas où vous traitez ou transférez des demandes DNS et où les demandes sortantes sont déjà autorisées par défaut.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
53/udp on eth0             ALLOW IN    Anywhere
Matt Borja
la source