Какие порты открыть, чтобы работало apt?

Question

Евгений Обыкновенный @evgeniy8086

Iptables

Какие порты открыть, чтобы работало apt?

В Debian 11 при выполнении команды apt update сообщается:
Temporary failure resolving 'mirror.hoztnode.net'

В iptables такие настройки:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Если установить -P INPUT ACCEPT, то apt нормально работает.

Вопрос задан более двух лет назад
857 просмотров

5 комментариев

Подписаться 2 Простой 5 комментариев

jcmvbkbc @jcmvbkbc

В iptables такие настройки:

Офигенные правила.
Можно, конечно, порекомендовать добавить в INPUT разрешения для tcp и upd на 53 порт, но зачем?

Написано более двух лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

jcmvbkbc, не помогает открытие 53 порта для tcp и udp в INPUT.

Написано более двух лет назад
jcmvbkbc @jcmvbkbc

Евгений Обыкновенный, для цепочки input это будет sport а не dport, если что.

Написано более двух лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

jcmvbkbc, т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Написано более двух лет назад
jcmvbkbc @jcmvbkbc

т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Евгений Обыкновенный, я уже написал: "но зачем?". Предлагаю выдернуть сетевой шнур для надёжности, apt вполне может работать с пакетами принесёнными на флэшке.

Написано более двух лет назад

В iptables такие настройки:

Офигенные правила.
Можно, конечно, порекомендовать добавить в INPUT разрешения для tcp и upd на 53 порт, но зачем?
jcmvbkbc, не помогает открытие 53 порта для tcp и udp в INPUT.
Евгений Обыкновенный, для цепочки input это будет sport а не dport, если что.
jcmvbkbc, т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?
т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Евгений Обыкновенный, я уже написал: "но зачем?". Предлагаю выдернуть сетевой шнур для надёжности, apt вполне может работать с пакетами принесёнными на флэшке.

Answer 1 · 2022-09-09 09:48:52

вот это добавить в INPUT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

объясняю - ответы от удаленного сервера должны возвращаться, а ваш общий DROP на INPUT этому препятствует.
правило выше разрешает принимать пакеты УЖЕ установленных соединений - то есть тех, которые вы инициализировали когда отправили свой запрос.

Какие порты открыть, чтобы работало apt?

Войдите на сайт