防火墙策略为DROP,yum不能使用解决方案-定位原创

定位

有时候我们为了考虑系统的安全性，我们把防火墙策略设置为DROP，导致出现了很多问题，以下是其中的一个问题

yum不能使用了，改如何解决呢？

众所周知，一般我们使用yum的时候，会用到dns解析功能，而dns解析，使用的是udp协议，端口是53号端口，那么这时候自己需要把53端口放行，不然，yum则不能使用，以下是总结：

1、忽略了自己服务器向其它服务器请求下载rpm包的时候，是通过本地的随机端口向其它服务器的指定端口访问的，这里一般是80、21、20

2、我们还需要在本地服务器上开启域名解析服务，即53端口，注意要搞清源端口和目标端口的指向

所以我们在设置防火墙的时候，需要注意端口来源指向


解决方法：（一定要确保一下几条规则一定要有）

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       tcp spt:80
ACCEPT     udp  --  0.0.0.0/0            192.168.1.106       udp spt:53     

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.106        0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  192.168.1.106        0.0.0.0/0           tcp dpt:80
ACCEPT     udp  --  192.168.1.106        0.0.0.0/0           udp dpt:53           

这里我是通过访问其它服务器的80端口下载rpm包的

测试：



如果对方是ftp服务器的话，那么需要开启21、20端口，注意端口来源指向，即源端口和目标端口