黑帽联盟

标题: 防火墙策略为DROP,yum不能使用解决方案-定位原创 [打印本页]

作者: 定位    时间: 2016-11-8 01:52
标题: 防火墙策略为DROP,yum不能使用解决方案-定位原创
有时候我们为了考虑系统的安全性,我们把防火墙策略设置为DROP,导致出现了很多问题,以下是其中的一个问题

yum不能使用了,改如何解决呢?

众所周知,一般我们使用yum的时候,会用到dns解析功能,而dns解析,使用的是udp协议,端口是53号端口,那么这时候自己需要把53端口放行,不然,yum则不能使用,以下是总结:

1、忽略了自己服务器向其它服务器请求下载rpm包的时候,是通过本地的随机端口向其它服务器的指定端口访问的,这里一般是80、21、20

2、我们还需要在本地服务器上开启域名解析服务,即53端口,注意要搞清源端口和目标端口的指向

所以我们在设置防火墙的时候,需要注意端口来源指向


解决方法:(一定要确保一下几条规则一定要有)

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       tcp spt:80
ACCEPT     udp  --  0.0.0.0/0            192.168.1.106       udp spt:53     

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.106        0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  192.168.1.106        0.0.0.0/0           tcp dpt:80
ACCEPT     udp  --  192.168.1.106        0.0.0.0/0           udp dpt:53           

这里我是通过访问其它服务器的80端口下载rpm包的

测试:
yum命令


如果对方是ftp服务器的话,那么需要开启21、20端口,注意端口来源指向,即源端口和目标端口





欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5