Какие порты открыть, чтобы работало apt?

Question

Евгений Обыкновенный @evgeniy8086

Iptables

Какие порты открыть, чтобы работало apt?

В Debian 11 при выполнении команды apt update сообщается:
Temporary failure resolving 'mirror.hoztnode.net'

В iptables такие настройки:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Если установить -P INPUT ACCEPT, то apt нормально работает.

Вопрос задан более трёх лет назад
1000 просмотров

5 комментариев

Подписаться 2 Простой 5 комментариев

jcmvbkbc @jcmvbkbc

В iptables такие настройки:

Офигенные правила.
Можно, конечно, порекомендовать добавить в INPUT разрешения для tcp и upd на 53 порт, но зачем?

Написано более трёх лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

jcmvbkbc, не помогает открытие 53 порта для tcp и udp в INPUT.

Написано более трёх лет назад
jcmvbkbc @jcmvbkbc

Евгений Обыкновенный, для цепочки input это будет sport а не dport, если что.

Написано более трёх лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

jcmvbkbc, т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Написано более трёх лет назад
jcmvbkbc @jcmvbkbc

т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Евгений Обыкновенный, я уже написал: "но зачем?". Предлагаю выдернуть сетевой шнур для надёжности, apt вполне может работать с пакетами принесёнными на флэшке.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

DevSecOps: безопасная разработка и эксплуатация

3 месяца

Далее

Пригласить эксперта

Ответы на вопрос 2

3 комментария

Dmitry @q2digger

TheAndrey7, да, обычно первым. Но я предполагаю , что у автора вопроса (как он нам показал) вообще пустой INPUT

Написано более трёх лет назад
Dmitry @q2digger

добавлю, те пару разрешающий что он сделал - не помещают конечно. И так должно работать ;)

Написано более трёх лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

Почему-то недостаточно только этого правила
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Заработало только вместе с
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
Почему?

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Ubuntu

+2 ещё

Сложный
Как передать реальный IP при переадресации NAT с помощью iptables?
- 1 подписчик
- 14 сент.
- 265 просмотров
4

ответа
Сетевое администрирование

+1 ещё

Простой
Почему NFT блокирует соединение по FTP?
- 1 подписчик
- 17 авг.
- 219 просмотров
2

ответа
Сетевое администрирование

+1 ещё

Простой
Почему nft не блокирует IP?
- 1 подписчик
- 13 авг.
- 218 просмотров
1

ответ
Iptables

Простой
Как забанить список IP по первым двум числам?
- 3 подписчика
- 11 авг.
- 1777 просмотров
3

ответа
Linux

+3 ещё

Средний
Почему не пробрасывается трафик в туннель (tun-интерфейс)?
- 2 подписчика
- 10 июн.
- 473 просмотра
2

ответа
Linux

+2 ещё

Простой
Чем настраивать ACL на серверах Linux?
- 2 подписчика
- 17 апр.
- 228 просмотров
1

ответ
Ubuntu

+2 ещё

Простой
Как поменять порт openvpn клиента на ubuntu 22?
- 1 подписчик
- 02 апр.
- 180 просмотров
1

ответ
OpenVPN

+1 ещё

Простой
Как настроить правило iptables, чтобы конкретный ip шел через локальный прокси?
- 1 подписчик
- 07 мар.
- 170 просмотров
1

ответ
VPN

+2 ещё

Простой
Почему не доходят запросы к ДНС серверу в локальной сети из другой сети?
- 1 подписчик
- 06 мар.
- 317 просмотров
1

ответ
Linux

+2 ещё

Простой
Как организовать соединения двух компьютеров за NAT?
- 4 подписчика
- 12 февр.
- 5553 просмотра
12

ответов
Показать ещё Загружается…

Frontend Developer - React

rgbcode

от 180 000 до 220 000 ₽

Программист-консультант 1С ЗУП

Grand-hr • Москва

от 120 000 до 200 000 ₽

Программист 1С

Grand-hr • Ростов-на-Дону

от 250 000 до 300 000 ₽

В iptables такие настройки:

Офигенные правила.
Можно, конечно, порекомендовать добавить в INPUT разрешения для tcp и upd на 53 порт, но зачем?
jcmvbkbc, не помогает открытие 53 порта для tcp и udp в INPUT.
Евгений Обыкновенный, для цепочки input это будет sport а не dport, если что.
jcmvbkbc, т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?
т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Евгений Обыкновенный, я уже написал: "но зачем?". Предлагаю выдернуть сетевой шнур для надёжности, apt вполне может работать с пакетами принесёнными на флэшке.

Answer 1 · 2022-09-09 09:48:52

вот это добавить в INPUT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

объясняю - ответы от удаленного сервера должны возвращаться, а ваш общий DROP на INPUT этому препятствует.
правило выше разрешает принимать пакеты УЖЕ установленных соединений - то есть тех, которые вы инициализировали когда отправили свой запрос.

Answer 2 · 2022-09-09 05:50:09

Проверьте команду dig ya.ru
Если произошла ошибка (нет нормального IP) - ваш компьютер не имеет доступа к DNS-серверу, на который настроен. Соответственно решайте проблему DNS-сервера (он указан в /etc/resolv.conf в строке nameserver ........).

Какие порты открыть, чтобы работало apt?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт