这是一个创建于 2241 天前的主题,其中的信息可能已经有所发展或是发生改变。
一共有两台服务器,一台阿里云美西,装了 RouterOS,跑 L2TP Server,Allow DNS Remote Request,安全组规则全开放。Ros 防火墙设置了个 5353 -> 53 的端口转发。
一台阿里云上海,Centos,装了 Dnsmasq,配合 dnsmasq-china-list,国内域名向本地电信 DNS 服务器查询,其他域名向阿里云美西 5353 端口查询。
后来接到阿里云的通知邮件,告诉我美西服务器有 Malicious Traffic 让我处理。于是安全组规则设置了 5353 和 53 端口,UDP 类型,仅允许阿里云上海访问。
问题来了,这样设置之后在阿里云上海用 Dig 命令查询,返回结果总是
[root@xxxxxx ~]# dig www.google.com @美西服务器地址 -p 5353
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> www.google.com @美西服务器地址 -p 5353
;; global options: +cmd
;; connection timed out; no servers could be reached
美西服务器安全组规则设置成 0.0.0.0/0 全部允许后,就能正常查询到。
[root@xxxxxx ~]# dig www.google.com @美西服务器地址 -p 5353
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> www.google.com @美西服务器地址 -p 5353
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61735
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.google.com. IN A
;; ANSWER SECTION:
www.google.com. 33 IN A 172.217.0.36
;; Query time: 192 msec
;; SERVER: 美西服务器地址#5353(美西服务器地址)
;; WHEN: Fri Mar 23 12:27:22 CST 2018
;; MSG SIZE rcvd: 48
所以,我是哪里遗漏了什么?
感谢指点。
 |
1
msg7086 2018-03-23 12:56:16 +08:00  1
我猜是 5353 TCP。
也有可能是 IP 的问题,你从上海 SSH 一下美西,看看自己的 IP 地址是否正确。 |
 |
3
Laynooor OP 允许 5353 端口的所有流量( 0.0.0.0/0 ),无效。
|
|
4
Laynooor OP 允许 53 端口的所有流量( 0.0.0.0/0 )有效,但这样的规则会被利用进行攻击。
|
 |
5
AntonChen 2018-03-23 13:16:15 +08:00 1
「 Ros 防火墙设置了个 5353 -> 53 的端口转发」设置规则贴出来看看
|
|
6
Laynooor OP |
|
7
msg7086 2018-03-23 13:28:55 +08:00 1
果然是规则错了,NAT 是转发到内网地址不是公网地址。
(我想当然了以为转发规则是对的…… |
Select Language