- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。)
iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなる原因とは?
このQ&Aのポイント
- RHL9.0のiptablesでINPUT DROPの設定をすると、DNSパケットが通らなくなる問題が発生します。
- DNSのdigやnslookupなどの操作ができなくなるため、ファイアウォールは全ての通信を許可しているかのように見えます。
- この設定は、許可したいパケットだけを通す設定ではなく、全ての通信をブロックする設定です。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
私はこんなふうにしてます. #!/bin/bash # 基本ポリシー iptables -P INPUT DROP # 外部からのパケットは原則廃棄. iptables -P FORWARD DROP # パケットの転送はしない. iptables -P OUTPUT ACCEPT # 外部へのパケットは原則許可. # 内部から接続を確立したコネクションのパケットは受け入れる(これがポイント) iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 受け入れたいポートがあれば個別に設定 iptables -A INPUT -i eth0 --protocol tcp --dport http -j ACCEPT # 最後に設定を保存. iptables-save > /etc/sysconfig/iptables
お礼
-A INPUT -i lo -j ACCEPT を付け加えたらうまくいきました。
補足
ありがとうございます。おっしゃるとおりにやってみたところDNSサーバーに問い合わせることができました。しかし、あと一点気になるところがあるのですが、システムをシャットダウンさせるとnamedのところで5分ほど止まったあと、「rndc:connect failed :time out」と表示されます。これはなぜなのでしょうか。