web-dev-qa-db-fra.com

Quand puis-je ouvrir le port 53 pour DNS?

Verrouillage d'un serveur d'applications. Le serveur héberge une application Web servie via HTTP. Il y a quelques autres ports ouverts également.

Le port 53 est ouvert pour DNS. Pourquoi aurais-je besoin de cela?

Extra: (n'ai pas besoin de répondre à cela, mais ...) Cette commande ouvrirait-elle ce port à l'aide d'Iptables à Linux

#  iptables -A INPUT -m tcp -p tcp --dport 53 -j ACCEPT
6
csi

Le port 53 est ouvert pour DNS. Pourquoi aurais-je besoin de cela?

Vous devez avoir UDP 53 autorisé pour les réponses aux requêtes DNS que votre serveur envoie, car l'UDP est un protocole apatride. Ne bloquez pas si vous voulez une sorte de connectivité sortante, des mises à jour logicielles, etc.

Notez que pour le logiciel de résolution de nom dans la plupart des systèmes d'exploitation modernes qui ont été correctis avec la randomisation du port source DNS, le port source des requêtes (et donc le port de destination de la réponse) ne sera pas nécessairement 53; Dans ces cas, il est probablement sûr (mais inutile, à moins que vous ne disposiez d'une écoute de résolution de DNS voyous) pour bloquer le port UDP 53.

Cette commande serait-elle sécuriser ce port utilisant des iptables sous Linux

Vous n'avez pas besoin d'autoriser TCP= 53 Inbound à moins que votre serveur soit réellement un serveur DNS. Votre deuxième commande a -m udp -p tcp, qui n'a pas beaucoup de sens. Typo?

8
Shane Madden

Si vous utilisez uniquement votre réseau local, utilisez un serveur de noms local et n'a aucune connexion à des sites aléatoires sur Internet, vous n'avez pas besoin de quitter le port 53 ouvert. Mais si vous souhaitez utiliser Internet, vous devez pouvoir traduire les noms d'hôte en adresses IP. Pour cela, vous avez besoin de DNS.

3
Hennes

Quand ouvririez-vous le port 53? Je suppose que lorsque vous hébergez des zones DNS. Êtes-vous en train d'exécuter DNS en interne ou de le sauter? Si vous exécutez que vous feriez mieux d'avoir 53 ouvert si vous voulez que quiconque obtienne les enregistrements. Comme vous l'avez dit, vous avez hébergé votre DNS ailleurs, il n'y a aucune raison de garder ces ports ouverts même avec des vhosts et de ce que.

En ce qui concerne la règle des iptables, je ne suis pas sûr de ce que vous entendez par sécurisation, mais cela ouvrira le port pour vous.

2
Jacob

DNS utilise le port UDP 53

Pourquoi aurais-je besoin de cela?

Si vous souhaitez utiliser votre serveur en tant que serveur DNS (par exemple, vous accueillez vos propres domaines)

1
mangia

Si le serveur d'applications en question n'est pas un serveur DNS, vous n'avez pas besoin d'ouvrir le port 53. Un "port ouvert" signifie que le port est visible de manière externe aux clients du réseau (ou sur Internet, éventuellement). Contrairement à la croyance populaire Un serveur ou un hôte n'a pas besoin d'avoir du port 53 ouvert pour faire des requêtes DNS sortantes - ce n'est pas la manière dont le modèle TCP/IP fonctionne. Vous pouvez exécuter TCPDump sur un hôte, puis émettre une recherche DNS d'un autre terminal ou navigateur pour confirmer ceci:

'tcpdump -n -s 1500 -i eth0 udp port 53'

Donc, pour répondre à votre question: vous n'observiez que le port 53 sur un hôte offrant des services DNS à un réseau.

Pas une partie de votre question, mais il serait conseillé de disposer d'un pare-feu installé sur tous les hôtes du serveur de réseau. Ces garanties contre l'instruction d'attaques originaires de l'extérieur du réseau ainsi que contre les utilisateurs virus/chevaux et "très intelligents" (mais malignes) à l'intérieur du réseau. Un pare-feu simplifierait également la tâche d'ouvrir et de clôturer des ports, ainsi que de définir des stratégies d'accès que vous le souhaitez, contourner ainsi la nécessité de créer manuellement (et de rappeler) les règles complexes iptables règles.

1
venzen