iptablesを有効にすると「yum」や「dig」が利用できなくなります。

Question

loxia

4

4もっと見る

70pt

コンピュータインターネット

iptablesを有効にすると「yum」や「dig」が利用できなくなります。

現在のiptalesの設定は以下のようになっています。

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT

上記の状態でiptablesを停止すると「」「」のいずれも正常に動作する為
iptablesの設定が原因だとは思いますが、解決策が見出せません。

いろいろ調べると以下の一文で内部からの応答に対しては
受信パケットを受け入れるようなので、他の方はうまくいったとの報告があるのですが
私の方では解決できずにおります。

ご助言・ご指摘をよろしくお願いします。

回答の条件

1人3回まで

登録：2008/07/11 11:10:10
終了：2008/07/18 11:15:02

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

コメントはまだありません

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

リクエスト送信済

回答リクエストを送信したユーザーはいません

b-wind · Answer 1 · 2008-07-11T11:23:35+09:00

No.1

b-wind33444402008/07/11 11:23:35

35pt

dig っていうだけでほとんど原因は特定できそうなものだが。

DNS 問い合わせの帰りのパケットが拒否設定になってる。

UDP の　Port 53

ご指摘の内容で以下の設定で解決できました。

A INPUT -p udp -m udp --sport 53 -j ACCEPT
A INPUT -p udp -m tcp --sport 53 -j ACCEPT

同様の方法でyumも解決したのですが、

私の認識では以下の一文が内部からの応答に対するパケットは通信を許可するという設定で、

上記の個別に許可をする必要はないと認識していたのですが、

この違いはどのような点なのでしょうか？

A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

おそらく私の認識に誤りがあるのだと思うのですが。

2008/07/11 12:12:55

たも · Answer 2 · 2008-07-11T12:48:35+09:00

No.2

たも175292008/07/11 12:48:35

35pt

udp は基本的にステートレスなので、いろいろ面倒みたいです。

http://www.asahi-net.or.jp/~AA4T-NNGK/ipttut/output/udpconnectio...

ご回答ありがとうございます。

>udp は基本的にステートレスなので、いろいろ面倒みたいです。

内部からの通信に応答したパケットではなく、

内部からコネクションを張った通信に対する応答については許可するわけですから、

udpのようにコネクションレスなものは個別に設定しなければならないですね。。。

ご助言ありがとうございます。

2008/07/11 13:29:34

iptablesを有効にすると「yum」や「dig」が利用できなくなります。

回答（2件）

b-wind33444402008/07/11 11:23:35

たも175292008/07/11 12:48:35

コメント（0件)

この質問への反応（ブックマークコメント）