Какие порты открыть, чтобы работало apt?

Question

Евгений Обыкновенный @evgeniy8086

Iptables

Какие порты открыть, чтобы работало apt?

В Debian 11 при выполнении команды apt update сообщается:
Temporary failure resolving 'mirror.hoztnode.net'

В iptables такие настройки:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Если установить -P INPUT ACCEPT, то apt нормально работает.

Вопрос задан более двух лет назад
745 просмотров

5 комментариев

Подписаться 2 Простой 5 комментариев

jcmvbkbc @jcmvbkbc

В iptables такие настройки:

Офигенные правила.
Можно, конечно, порекомендовать добавить в INPUT разрешения для tcp и upd на 53 порт, но зачем?

Написано более двух лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

jcmvbkbc, не помогает открытие 53 порта для tcp и udp в INPUT.

Написано более двух лет назад
jcmvbkbc @jcmvbkbc

Евгений Обыкновенный, для цепочки input это будет sport а не dport, если что.

Написано более двух лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

jcmvbkbc, т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Написано более двух лет назад
jcmvbkbc @jcmvbkbc

т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Евгений Обыкновенный, я уже написал: "но зачем?". Предлагаю выдернуть сетевой шнур для надёжности, apt вполне может работать с пакетами принесёнными на флэшке.

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 2

3 комментария

Дмитрий @q2digger

TheAndrey7, да, обычно первым. Но я предполагаю , что у автора вопроса (как он нам показал) вообще пустой INPUT

Написано более двух лет назад
Дмитрий @q2digger

добавлю, те пару разрешающий что он сделал - не помещают конечно. И так должно работать ;)

Написано более двух лет назад
Евгений Обыкновенный @evgeniy8086 Автор вопроса

Почему-то недостаточно только этого правила
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Заработало только вместе с
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
Почему?

Написано более двух лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Iptables

Простой
Можно ли в nftables добавить счетчик для заблокированных IP?
- 3 подписчика
- 21 дек.
- 171 просмотр
1

ответ
Linux

+2 ещё

Простой
Как настроить iptables, чтобы сайт с гостевой машины находил сам себя?
- 3 подписчика
- 19 дек.
- 112 просмотров
0

ответов
VPN

+2 ещё

Простой
Как пробросить порт с vps на домашний cервер?
- 2 подписчика
- 18 дек.
- 489 просмотров
3

ответа
Nginx

+3 ещё

Простой
Как сделать, чтобы nginx отображал реальный IP клиента на гостевой машине за NAT?
- 2 подписчика
- 17 дек.
- 237 просмотров
3

ответа
Iptables

Простой
Почему nftables блокирует IP сервера базы данных?
- 2 подписчика
- 15 дек.
- 133 просмотра
0

ответов
Proxy

+2 ещё

Сложный
POSTROUTING Теряется реальный IP, какие есть вариаты решений?
- 2 подписчика
- 13 дек.
- 219 просмотров
4

ответа
OpenVPN

+1 ещё

Простой
Сервер на котором развёрнут OpenVPN видит клиента с родным IP адресом, а другие сервера и сайты с адресом сервера, как исправить?
- 1 подписчик
- 17 нояб.
- 183 просмотра
1

ответ
Iptables

Средний
Как сделать список destination в iptables?
- 2 подписчика
- 31 окт.
- 146 просмотров
1

ответ
Linux

+3 ещё

Средний
Перенаправлять трафик на другой интерфейс машины?
- 3 подписчика
- 24 окт.
- 337 просмотров
1

ответ
VPN

+3 ещё

Сложный
Как диагностировать OpenWRT PBR?
- 1 подписчик
- 08 окт.
- 189 просмотров
0

ответов
Показать ещё Загружается…

CRM-маркетолог

Wanted.

До 120 000 ₽

Исследователь UX/UI

Wanted. • Москва

До 180 000 ₽

Портфельный Аналитик

Wanted.

До 400 000 ₽

Спинтакс шаблон

26 дек. 2024, в 14:40

15000 руб./за проект

С ++ парсер тхт логов

26 дек. 2024, в 14:27

100000 руб./за проект

Создание промо-роликов с использованием ИИ и моушн-дизайна

26 дек. 2024, в 13:56

90000 руб./за проект

В iptables такие настройки:

Офигенные правила.
Можно, конечно, порекомендовать добавить в INPUT разрешения для tcp и upd на 53 порт, но зачем?
jcmvbkbc, не помогает открытие 53 порта для tcp и udp в INPUT.
Евгений Обыкновенный, для цепочки input это будет sport а не dport, если что.
jcmvbkbc, т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?
т.е. предлагаете открыть все порты для всех запросов, приходящих с порта 53? Злоумышленник не может посылать вредные запросы с порта 53?

Евгений Обыкновенный, я уже написал: "но зачем?". Предлагаю выдернуть сетевой шнур для надёжности, apt вполне может работать с пакетами принесёнными на флэшке.

Answer 1 · 2022-09-09 09:48:52

вот это добавить в INPUT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

объясняю - ответы от удаленного сервера должны возвращаться, а ваш общий DROP на INPUT этому препятствует.
правило выше разрешает принимать пакеты УЖЕ установленных соединений - то есть тех, которые вы инициализировали когда отправили свой запрос.

Answer 2 · 2022-09-09 05:50:09

Проверьте команду dig ya.ru
Если произошла ошибка (нет нормального IP) - ваш компьютер не имеет доступа к DNS-серверу, на который настроен. Соответственно решайте проблему DNS-сервера (он указан в /etc/resolv.conf в строке nameserver ........).

Какие порты открыть, чтобы работало apt?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт