Что-то я туплю… Ситуация такая. Мой ISP (университетский DSL) запрещает мне гонять DNS сервер на моей машине. Но их DNS глючен до безобразия, иной раз приходится по пять раз коннектиться к одной странице, пробиваясь через Resolving-Not Found. Соответственно,
я поствил named (caching only) на свой DSL router (на нем две ethernet-карточки, у одной 192.168.0.1, у другой routable IP от моего ISP). На нем кроме named бегает sshd. Так вот,
sshd настоен так, что он слушает только на 192.168.0.1, т.е. на внутренней сети. Снаружи, т.е. nmap <внешний IP> не показывает ни одного открытого порта. Это было в настройках сервера (sshd).
Теперь, я включаю named, и nmap показывает, что 53 порт на внешнем IP открыт.
Я пишу iptables -A INPUT -d $INETADDR -p tcp --dport 53 -j DROP и nmap говорит
Port State Service
53/tcp filtered domain
telnet не подсоединяется к 53 порту на внешнем IP, но порт все равно виден! и моему ISP будет понятно, что я гоняю запрещеный сервис…
Никто не знает как сделать, чтобы named был вообще невиден снаружи, как sshd, который тоже бегает на этой машине?
Good Luck,
UT
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
-j REJECT --reject-with icmp-port-unreachable?
А через настройки самого named это никак не сделать?
неа, filtered
кстати, светить вот так закрытые порты может по-моему только nmap, остальные обламываются
Гы. Дык это просто. На такие порты сокет открывается но FIN не получается. Там просто таймер и усе.
Я тоже покрутил разные опции, в том числе SHuRuPов совет, все одно filtered :-(
Ну, в принципе, не будь они там такими идиотами, я б мог сказать, что filtered порт для них не опасен, поскольку запросов снаружи не принимает, и развернуть трафик не может. С другой стороны, если они такие идиоты, может они и про nmap не знают?
Надо подумать, может есть какой хитрый способ заставить named не слушать на одном интерфейсе…
Good Luck,
UT
Временное решение запустить dns сервак на другом порту.
В настройках iptables должна быть по идеи опция, которая не позволяла бы nmap определять filtered порты.
P.S. А теперь самое идиотское решение:) Запускать DNS сервак до того, как стартанул eth1.
Это не будет работать. Потому что он все равно потом получит пакеты с запущенного позже eth1.
Попробуй может MIRROR действие? Или сделай REDIRECT всех пакетов из внешней сети, приходящих на 53 порт, на какой-нить закрытый порт. По идее должно сработать :)
Ура!! Заработало!!
iptables -t nat -A PREROUTING -d $INETADDR -p tcp --dport 53 -j\
REDIRECT --to-ports 60000
All 1659 scanned ports on <…> are: closed
Nmap run completed — 1 IP address (1 host up) scanned in 0.714 seconds
Большое спасибо.
Good Luck,
UT
Всегда рад помочь :)
в named.conf добавить:
options {
listen-on { 192.168.0.1; };
};
Только что прочитал. Работает! Спасибо. :-)
Good Luck,
UT
вообще бы еще и 127.0.0.1 разрешить :)
и вставить forwarders
Да я разрешил… Только работать он стал медленнее значительно. Наверное, я вернусь к старой системе.
Good Luck,
UT
что значит медленне значительно?»
чего говорят netstat -a|grep ':53\′?
у меня:
работает без торможения…
Да, только у меня форвардеров нету (ну нафик, связываться). Почему-то dig yahoo.com, скажем, в моем случае занимает 150 msec, а с «listen-on» — около 3000 msec. Может, конечно, когда я тестил, связь медленнее была…
Я переезжаю через неделю, на новом месте буду все конфигурить с нуля, там кабельный модем будет, и я подумываю о новом компьютере, так что там все настроим по высшему разряду. Я еще надоем своими вопросами :-)
Good Luck,
UT
Дык поставь в forwarders ближайщие к тебе стабильные dns-сервера и не мучься.
Не обязательно университетские, можно более другие.
Найти провайдера и пользоваться его dns-серверами, к примеру — очень неплохой выбор..
Оно и понятно, что без forwarders при включении listen-on сервер bind (предположительно) пытается отослать пакеты с ранее открытых сокетов, и лишь потом открывает новый сокет на нужном интерфейсе и лезет до корневых серверов.