黑帽联盟

标题: 防火墙策略为DROP,yum不能使用解决方案-定位原创 [打印本页]

作者: 定位 时间: 2016-11-8 01:52
标题: 防火墙策略为DROP,yum不能使用解决方案-定位原创
有时候我们为了考虑系统的安全性，我们把防火墙策略设置为DROP，导致出现了很多问题，以下是其中的一个问题

yum不能使用了，改如何解决呢？

众所周知，一般我们使用yum的时候，会用到dns解析功能，而dns解析，使用的是udp协议，端口是53号端口，那么这时候自己需要把53端口放行，不然，yum则不能使用，以下是总结：

1、忽略了自己服务器向其它服务器请求下载rpm包的时候，是通过本地的随机端口向其它服务器的指定端口访问的，这里一般是80、21、20

2、我们还需要在本地服务器上开启域名解析服务，即53端口，注意要搞清源端口和目标端口的指向

所以我们在设置防火墙的时候，需要注意端口来源指向

解决方法：（一定要确保一下几条规则一定要有）

Chain INPUT (policy DROP)
target    prot opt source             destination
ACCEPT    tcp  --  0.0.0.0/0          192.168.1.106    state RELATED,ESTABLISHED
ACCEPT    tcp  --  0.0.0.0/0          192.168.1.106    tcp spt:80
ACCEPT    udp  --  0.0.0.0/0          192.168.1.106    udp spt:53

Chain FORWARD (policy ACCEPT)
target    prot opt source             destination

Chain OUTPUT (policy DROP)
target    prot opt source             destination
ACCEPT    all  --  192.168.1.106       0.0.0.0/0          state RELATED,ESTABLISHED
ACCEPT    tcp  --  192.168.1.106       0.0.0.0/0          tcp dpt:80
ACCEPT    udp  --  192.168.1.106       0.0.0.0/0          udp dpt:53

这里我是通过访问其它服务器的80端口下载rpm包的

测试：

如果对方是ftp服务器的话，那么需要开启21、20端口，注意端口来源指向，即源端口和目标端口

欢迎光临黑帽联盟 (https://bbs.cnblackhat.com/)