Fedora28 防火牆擋住DNS

#fedora #nat #dns #firewalld #http

rh551206 2019-11-13 22:04:35 ‧ 1784 瀏覽

分享至

各位大大好
我在Fedora28上架設DNS.http及利用Firewalld架設NAT，我外網的電腦可以連到Server架設的HTTP網站，但是內網的電腦卻不能連到server架設的HTTP網站，請問我設定有錯誤或Firewalld有哪邊錯誤嗎?

我NAT是照著這個網站架設的在 CentOS 7 使用 firewalld 架設 NAT
之後再輸入以下的指令設定port forwarding 和打開port
firewall-cmd --permanent --zone=external --add-forward-port=port=443:proto=tcp:toport=443:toaddr=192.168.1.0
firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=80:toaddr=192.168.1.0
firewall-cmd --permanent --zone=external --add-service=http
firewall-cmd --permanent --zone=internal --add-service=http
firewall-cmd --permanent --zone=external --add-service=https
firewall-cmd --permanent --zone=internal --add-service=https
firewall-cmd --permanent --zone=external --add-service=dns
firewall-cmd --permanent --zone=internal --add-service=dns

#設定DNS
vi /etc/named.conf

zone "test.edu" IN{
type master;
file "test.edu.txt";
allow-query{ any; };
};

vi /var/named/test.edu.txt

$TTL 1D
@ 3600 IN SOA test.edu. rname.invalid. (
2029420530 ; serial
7200 ; refresh
3600 ; retry
86400 ; expire
3600) ; minimum
test.edu. IN NS test.edu.
test.edu. IN A 10.11.1.1
www.test.edu. IN A 10.11.1.1

看更多先前的討論...收起先前的討論...

補覺鳴詩 iT邦高手 1 級 ‧ 2019-11-14 07:05:33 檢舉

firewall-cmd --list-all

rh551206 iT邦新手 5 級 ‧ 2019-11-14 08:26:40 檢舉

firewall-cmd-list-all
都顯示dns,http,https有加入service了

補覺鳴詩 iT邦高手 1 級 ‧ 2019-11-14 09:35:29 檢舉

資訊全部貼出來
IP 、路由怎麼跑也要注意

rh551206 iT邦新手 5 級 ‧ 2019-11-14 10:04:54 檢舉

[root@localhost ~]# firewall-cmd --list-all --zone=external
external (active)
target: default
icmp-block-inversion: no
interfaces: eth1
sources:
services: ssh dns http https
ports: 53/udp 53/tcp
protocols:
masquerade: yes
forward-ports: port=443:proto=tcp:toport=443:toaddr=192.168.1.253
port=80:proto=tcp:toport=80:toaddr=192.168.1.253
port=80:proto=udp:toport=80:toaddr=192.168.1.253
port=443:proto=udp:toport=443:toaddr=192.168.1.253
source-ports:
icmp-blocks:
rich rules:

[root@localhost ~]# firewall-cmd --list-all --zone=internal
internal (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: mdns samba-client dhcpv6-client dns http https ssh
ports: 53/tcp 53/udp
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:

[root@localhost ~]# systemctl status named
● named.service - Berkeley Internet Name Domain (DNS)
Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2019-11-13 20:58:19 EST; 1min 35s ago
Process: 1916 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SUCCESS)
Process: 1927 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS)
Process: 1925 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of >
Main PID: 1928 (named)
Tasks: 4 (limit: 4915)
Memory: 29.1M
CGroup: /system.slice/named.service
└─1928 /usr/sbin/named -u named -c /etc/named.conf

11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 192.33.4.12#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 192.33.4.12#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 192.203.230.10#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 192.203.230.10#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 193.0.14.129#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 193.0.14.129#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 192.112.36.4#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 192.112.36.4#53
11月 13 20:58:19 localhost.localdomain named[1928]: managed-keys-zone: Unable to fetch DNSKEY set '.': failure
11月 13 20:58:19 localhost.localdomain named[1928]: resolver priming query complete

[root@localhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2019-11-13 20:58:14 EST; 2min 2s ago
Docs: man:firewalld(1)
Main PID: 1732 (firewalld)
Tasks: 2 (limit: 4915)
Memory: 12.6M
CGroup: /system.slice/firewalld.service
└─1732 /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid

11月 13 20:58:13 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
11月 13 20:58:14 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
11月 13 20:58:14 localhost.localdomain firewalld[1732]: WARNING: FedoraServer: INVALID_SERVICE: cockpit

[root@localhost ~]# firewall-cmd --list-all --zone=internal
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: mdns samba-client dhcpv6-client dns http https ssh
  ports: 53/tcp 53/udp
  protocols:
  masquerade: yes
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

[root@localhost ~]# systemctl status named
● named.service - Berkeley Internet Name Domain (DNS)
   Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2019-11-13 20:58:19 EST; 1min 35s ago
  Process: 1916 ExecStop=/bin/sh -c /usr/sbin/rndc stop &gt; /dev/null 2&gt;&amp;1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SUCCESS)
  Process: 1927 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS)
  Process: 1925 ExecStartPre=/bin/bash -c if [ ! &quot;$DISABLE_ZONE_CHECKING&quot; == &quot;yes&quot; ]; then /usr/sbin/named-checkconf -z &quot;$NAMEDCONF&quot;; else echo &quot;Checking of &gt;
 Main PID: 1928 (named)
    Tasks: 4 (limit: 4915)
   Memory: 29.1M
   CGroup: /system.slice/named.service
           └─1928 /usr/sbin/named -u named -c /etc/named.conf

11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 192.33.4.12#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 192.33.4.12#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 192.203.230.10#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 192.203.230.10#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 193.0.14.129#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 193.0.14.129#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './DNSKEY/IN': 192.112.36.4#53
11月 13 20:58:19 localhost.localdomain named[1928]: network unreachable resolving './NS/IN': 192.112.36.4#53
11月 13 20:58:19 localhost.localdomain named[1928]: managed-keys-zone: Unable to fetch DNSKEY set '.': failure
11月 13 20:58:19 localhost.localdomain named[1928]: resolver priming query complete

[root@localhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2019-11-13 20:58:14 EST; 2min 2s ago
     Docs: man:firewalld(1)
 Main PID: 1732 (firewalld)
    Tasks: 2 (limit: 4915)
   Memory: 12.6M
   CGroup: /system.slice/firewalld.service
           └─1732 /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid

11月 13 20:58:13 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
11月 13 20:58:14 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
11月 13 20:58:14 localhost.localdomain firewalld[1732]: WARNING: FedoraServer: INVALID_SERVICE: cockpit

修改

rh551206 iT邦新手 5 級 ‧ 2019-11-14 10:05:31 檢舉

在內網的電腦裡nslookup

C:\Users\Internet-1>nslookup www.abc.edu
伺服器: UnKnown
Address: 10.11.1.1

*** UnKnown 找不到 www.abc.edu: No response from server

補覺鳴詩 iT邦高手 1 級 ‧ 2019-11-14 10:40:10 檢舉

你 client DNS server 是指向哪邊 ?
直接對這台 linux 嗎?

rh551206 iT邦新手 5 級 ‧ 2019-11-14 10:46:18 檢舉

是的

補覺鳴詩 iT邦高手 1 級 ‧ 2019-11-14 14:30:54 檢舉

你先開 ping 看看 linux 有雙網卡路由有設對嗎 ?

rh551206 iT邦新手 5 級 ‧ 2019-11-14 15:02:24 檢舉

linux有雙網卡路由也設定對的
但是ping 不到DNS...

補覺鳴詩 iT邦高手 1 級 ‧ 2019-11-14 15:04:53 檢舉

何不妨把設定跟網路架構都貼出來? ping 不到那比較有可能是網路架構本身有問題

rh551206 iT邦新手 5 級 ‧ 2019-11-14 15:15:56 檢舉

目前網頁可以連到了
但是DNS ping不到
nslookup會顯示No response from server

這是我DNS錯誤嗎?

rh551206 iT邦新手 5 級 ‧ 2019-11-14 15:33:48 檢舉

圖片有點小不好意思

rh551206 iT邦新手 5 級 ‧ 2019-11-14 15:40:28 檢舉

我DNS的設定也貼出來了

ayu iT邦好手 2 級 ‧ 2019-11-15 01:10:18 檢舉

在 fc28 上, dig @127.0.0.1 www.abc.edu a
會回應什麼?

named.conf 裡的 options ,
有沒有 listen-on 相關設定?

rh551206 iT邦新手 5 級 ‧ 2019-11-15 09:11:46 檢舉

listen-on都沒改

[root@localhost ~]# dig @127.0.0.1 www.test.edu a

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-13.P2.fc28 <<>> @127.0.0.1 www.test.edu a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42358
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 3ef37f207e0158d1e7257e735dcdfaaf90a65858306e0e71 (good)
;; QUESTION SECTION:
;www.test.edu. IN A

;; ANSWER SECTION:
www.test.edu. 86400 IN A 10.11.1.1

;; AUTHORITY SECTION:
test.edu. 86400 IN NS test.edu.

;; ADDITIONAL SECTION:
test.edu. 86400 IN A 10.11.1.1

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: 四 11月 14 20:09:03 EST 2019
;; MSG SIZE rcvd: 118

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

ayu

iT邦好手 2 級 ‧ 2019-11-15 10:18:24

最佳解答

listen-on都沒改

那就是用預設的 :
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };

dig @127.0.0.1 www.test.edu a

能正確回應, 證明你的bind有正常啟動與查詢回應

所以....我以前提醒過了喔....
listen-on 的預設值, 只有本機能夠查詢, 其它即使是內網也不會回應.
這是為了安全考量, 避免不熟悉的人把主機變成open recursive resolver, 你只需把 listen-on 相關設定註解起來, 再 rndc reconfig 應該就正常了.

如果將來你要設置對外開放查詢的DNS server, 請務必再留意 allow-query , recursion 等設定值.

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

rh551206 iT邦新手 5 級 ‧ 2019-11-15 10:52:37 檢舉

好的謝謝你已經成功了
以後會多注意的

rh551206 iT邦新手 5 級 ‧ 2019-11-15 11:08:56 檢舉

能在請問一下
我架設的FTP 匿名登入新增資料夾會顯示550錯誤
請問是我哪邊有架設錯誤嗎?
匿名新建資料夾有開啟了

ayu iT邦好手 2 級 ‧ 2019-11-15 23:09:00 檢舉

UNIX上的ftp daemon有好多種, 你指的是vsftpd嗎?

rh551206 iT邦新手 5 級 ‧ 2019-11-16 00:19:12 檢舉

對是vsftpd
用使用者登入都正常但是用匿名就會顯示550
不管是創資料夾刪資料夾或者拉檔案進去都是一樣

ayu iT邦好手 2 級 ‧ 2019-11-17 08:39:59 檢舉

匿名(anonymous,ftp)登入本來就不允許任何寫入動作, 除非刻意更改設定.
目前跟匿名有關的設定有哪些?

登入發表回應

echochio

iT邦高手 1 級 ‧ 2019-11-14 00:34:36

沒仔細看 ...
但是看到 DNS ... 可是 DNS 會有 UDP 與 TCP 這兩個協定
你那個 DNS 的規則是 TCP 還是 UDP ?
正常兩個都要開所以會有四個規則 ......
還有 DNS 不用 forward 嗎 ?

回應 1
分享
檢舉

rh551206 iT邦新手 5 級 ‧ 2019-11-14 08:34:54 檢舉

請問add-service=dns 裡面沒有包括udp跟tcp嗎?
dns也要Forward嗎?
可是我外網的是通的，目前問題是內網的被擋住了
還是有可能我DNS架設有錯誤?
在外網的電腦nslookup會出現timeou和no response from server這個有關係嗎?之前想說功能沒影響就不管了

登入發表回應