https://m.opennet.dev/openforum/vsluhforumID10/5149.html Проблема следующая: огромный поток запросов на udp 53 порт.<br><br>Пытаюсь закрыть в iptables но без успешно :( <br>http://www.networkcenter.info/tests/portcheck показывает что порт открыт<br><br>правило прописал такое:<br>-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP<br>-A INPUT -i eth0 -p udp --dport 53 -j DROP<br><br>Может где-то еще я что-то упустил?<br><br>Спасибо за помощь.<br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#9 Thu, 25 Apr 2013 07:20:57 GMT &gt; Проблема следующая: огромный поток запросов на udp 53 порт.<br>&gt; Пытаюсь закрыть в iptables но без успешно :( <br>&gt; http://www.networkcenter.info/tests/portcheck показывает что порт открыт <br>&gt; правило прописал такое: <br>&gt; -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP <br>&gt; -A INPUT -i eth0 -p udp --dport 53 -j DROP <br>&gt; Может где-то еще я что-то упустил?<br>&gt; Спасибо за помощь.<br><br>а в named.conf<br><br>listen-on { local.face; 127.0.0.1; }; ?<br><br><br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#8 Sat, 20 Apr 2013 10:18:35 GMT &gt; Проблема следующая: огромный поток запросов на udp 53 порт.<br><br>Предлагаю написать плугин для iptables, запрещающий, на законодательном уровне, <br>присылать запросы на 53 порт. И сделать коммит в конституцию. А сканирование портов<br>прировнять к терроризму! <br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#7 Sat, 20 Apr 2013 02:40:03 GMT &gt; -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP <br>&gt; -A INPUT -i eth0 -p udp --dport 53 -j DROP <br><br>Если эти правила прописаны на компьютере, где работает DNS сервер и он отвечает на запросы приходящие на eth0 - то должно работать.<br><br>Если речь идет о маршрутизаторе, через который проходят пакеты к DNS серверу, то необходимо использовать цепочку FORWARD вместо INPUT.<br><br>Посмотрите на схему прохождения пакетов в iptables, например<br>http://igortiunov4unix.wordpress.com/2013/03/14/iptables-traffic-flow/<br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#6 Fri, 19 Apr 2013 14:21:07 GMT Привет,<br><br>&gt; Проблема следующая: огромный поток запросов на udp 53 порт.<br><br>Вы уверены? А почему это к вам такой трафик по DNS идет вы не выяснили, прежде чем "закрывать" его?<br><br>&gt; Пытаюсь закрыть в iptables но без успешно :( <br><br>Что вы понимаете под "закрыть"? Если хоите, чтобы пакеты не доходили до сервиса, вам уже показали как это сделать через iptables. Тем не менее, пакеты будут доходить до вашего сервера, "съедая" канал связи и ресурс CPU - в этом прелесть UDP. Если хотите обрезать трафик пакетов, обратитесь вашему аплинку - опять-таки, выяснив сначала кто, откуда (и зачем) шлет вам такой трафик. <br><br>WWell,<br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#5 Fri, 19 Apr 2013 14:17:47 GMT В таблице filter<br><br><br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#4 Fri, 19 Apr 2013 14:16:17 GMT у вас по умолчанию все разрешено, поэтому и не отрабатываются правила.. УВАС ДОЛЖЕН БЫТЬ <br>INPUT DROP<br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#3 Fri, 19 Apr 2013 13:41:38 GMT &gt;[оверквотинг удален]<br>&gt; к ДНС идет через форвард) - то вроде то, что надо. <br>&gt; Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон <br>&gt; (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать <br>&gt; то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты <br>&gt; используют UDP. Ну и, естественно, лучше было бы в INPUT поставить <br>&gt; политику по умолчанию DROP и разрешить те порты, которые необходимы для <br>&gt; работы. Ну и, естественно, в INPUT может быть какое-то правило, которое <br>&gt; может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет <br>&gt; правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот <br>&gt; так - добавляйте его в НАЧАЛО. Ключом -I, естественно.<br><br>Спасибо что отозвались<br><br>-I INPUT -i eth0 -p udp --dport 53 -j DROP<br><br>Сделал так, ничего не поменяло :(<br><br>Вообще все порты вроде закрыты, которые были открыты закрыл принудительно.<br>Может есть еще где-то конфиг какой-то?<br><br>Я к сожалению в линуксе не очень https://m.opennet.dev/openforum/vsluhforumID10/5149.html#2 Fri, 19 Apr 2013 13:31:45 GMT Если все верно с интерфейсами и цепочками (ну, вдруг у вас обращение к ДНС идет через форвард) - то вроде то, что надо. Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты используют UDP. Ну и, естественно, лучше было бы в INPUT поставить политику по умолчанию DROP и разрешить те порты, которые необходимы для работы. Ну и, естественно, в INPUT может быть какое-то правило, которое может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот так - добавляйте его в НАЧАЛО. Ключом -I, естественно.<br> https://m.opennet.dev/openforum/vsluhforumID10/5149.html#1 Fri, 19 Apr 2013 13:29:58 GMT &gt; Может где-то еще я что-то упустил?<br><br>Забыли документацию почитать, книги по линуксу.<br><br>&gt; Спасибо за помощь.<br><br>Правила исполняются в определенном порядке, и каждое правило по отдельности само по себе ничего не значит.<br><br><br>