Не разрешаются DNS имена, проблема в iptables?

Question

[L0ns]

Помогите понять почему не разрешаются DNS имена, когда пускаешь пинг, например до ya.ru:

# ping ya.ru
ping: ya.ru: Имя или служба не известны

Настроенные правила:

[root@srv]#  iptables -L -v -n
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   22  1446 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        all  --  enp0s3 *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "--- INPUT enp0s3 --- "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
   40  2880 ACCEPT     tcp  --  enp0s8 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  enp0s8 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10050
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  enp0s8 *       0.0.0.0/0            0.0.0.0/0            udp dpt:123
   12  4383 ACCEPT     tcp  --  enp0s8 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
   82  6179 undef_in   all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 undef_fw   all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   22  1446 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      enp0s3  0.0.0.0/0            0.0.0.0/0
   34 13674 ACCEPT     all  --  *      enp0s8  0.0.0.0/0            0.0.0.0/0
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
    0     0 undef_out  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain undef_fw (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- FW -- DROP "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain undef_in (1 references)
 pkts bytes target     prot opt in     out     source               destination
   82  6179 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- IN -- DROP "
   82  6179 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain undef_out (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- OUT -- DROP "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Лог после пинга:

May 30 21:15:48 srv kernel: --- INPUT enp0s3 --- IN=enp0s3 OUT= MAC=08:00:27:e2:3e:be:80:26:89:0d:41:0d:08:00 SRC=192.168.0.1 DST=192.168.0.100 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=51772 LEN=43
May 30 21:15:48 srv kernel: -- IN -- DROP IN=enp0s3 OUT= MAC=08:00:27:e2:3e:be:80:26:89:0d:41:0d:08:00 SRC=192.168.0.1 DST=192.168.0.100 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=51772 LEN=43
May 30 21:15:54 srv kernel: --- INPUT enp0s3 --- IN=enp0s3 OUT= MAC=08:00:27:e2:3e:be:80:26:89:0d:41:0d:08:00 SRC=8.8.8.8 DST=192.168.0.100 LEN=138 TOS=0x00 PREC=0x00 TTL=101 ID=20587 PROTO=UDP SPT=53 DPT=37955 LEN=118
May 30 21:15:54 srv kernel: -- IN -- DROP IN=enp0s3 OUT= MAC=08:00:27:e2:3e:be:80:26:89:0d:41:0d:08:00 SRC=8.8.8.8 DST=192.168.0.100 LEN=138 TOS=0x00 PREC=0x00 TTL=101 ID=20587 PROTO=UDP SPT=53 DPT=37955 LEN=118

Если применить правило:
iptables -A INPUT -i enp0s3 -j ACCEPT
То проблема уходит, пинги проходят, но т.к. интерфейс enp0s3 смотрит в интернет, то это не очень хорошо.... Ни как не могу почему пакеты дропаются, хотя 53 порт открыт для входящих соединений....

Comments

[Saboteur]

53 порт это порт DNS сервера.
А у вас клиентские запросы, которые отправляются по случайному >1024 порту

[L0ns]

Saboteur, спасибо, забыл про этот ньюанс.
А не подскажете тогда на сколько корректно было бы написать такое правило с точки зрения безопасности?

iptables -I INPUT  -i enp0s3 -p udp  --sport 53 --dport 1024:65535 -j ACCEPT

[Saboteur]

L0ns, я не безопасник, но выглядит неплохо.
А вообще, почему вы не готовы открыть исходящие запросы на любые порты?

Answer 1

[Дмитрий]

Добавьте и проверьте

iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Comments

[L0ns]

Спасибо, заработало)))

[Дмитрий]

Объяснять что произошло? Или интересно самому раскопать? ))

[L0ns]

Дмитрий, лучше объяснить))

[Дмитрий]

у вас пакетики запроса к DNS серверу улетели (состояние пакета NEW), он вам ответил.
Но ваши правила в таблице INPUT запрещают этому ответу пройти. Потому что там надо разрешить не порт, а состояние.
Цитата:
состояние ESTABLISHED — пакеты, принадлежащие к установленным соединениям, состоянию RELATED соответствуют пакеты, открывающие новые соединения, логически связанные с уже установленными

[L0ns]

Дмитрий,

Потому что там надо разрешить не порт, а состояние.

Если я правильно понял, то открытие портов тут не поможет и правило:

iptables -A INPUT -i enp0s3 -p udp  --sport 53 --dport 1024:65535 -j ACCEPT

Не должно отрабатывать, но оно срабатывает тоже, пинги начинают ходить.

[Дмитрий]

нечему не поможет, поможет. так тоже можно , мне просто вариант ESTABLISHED,RELATED больше нравится, он универсальнее.

[L0ns]

Дмитрий, понял, спасибо большое за разъяснение)