8 votos

¿Cuándo abriría el puerto 53 para el DNS?

Bloqueo de un servidor de aplicaciones. El servidor aloja una aplicación web que se sirve vía http. Hay algunos otros puertos abiertos también.

El puerto 53 está abierto para DNS. ¿Por qué necesitaría esto?

Extra: (No es necesario responder a esto pero...) ¿Podría este comando abrir ese puerto usando iptables en Linux

#  iptables -A INPUT -m tcp -p tcp --dport 53 -j ACCEPT

9voto

Shane Madden Puntos 81409

Por defecto, Ubuntu utiliza Unity. Puede utilizar la última versión de Ubuntu sin Unity. Aquí hay algunos direcciones sobre cómo instalar Gnome 3. Sin embargo, puedes utilizar casi cualquier gestor de ventanas que exista.

Personalmente, me gusta Menta sobre Ubuntu. Está basado en Ubuntu, pero utiliza el gestor de ventanas Cinnamon.

0 votos

Gracias. El DNS está alojado en otro lugar - digamos Amazon Route53 o Network Solutions o cualquier otro lugar. Entonces, ¿eso significa que puedo mantener INBOUND cerrado, incluso si se utilizan subdominios y directivas de host virtual?

0 votos

@ChristopherIckes No. Su servidor aún necesita hacer consultas DNS salientes - el tráfico UDP del puerto 53 entrante debe ser permitido (las respuestas a sus consultas) para que éstas funcionen correctamente.

1 votos

Aunque UDP es un protocolo sin estado, conntrack puede mantener el estado de las conversaciones UDP. Si se permite la salida de nuevas conexiones y se tiene un iptables -A INPUT -m conntrack --ctsate ESTABLISHED,RELATED -j ACCEPT regla como la mayoría, el UDP también se gestionará bajo esto. Cuando se envía una petición UDP, se mantendrá el estado y se permitirá una respuesta en el mismo puerto/ip. Si se recibe una respuesta a ese paquete, la "conexión" se convertirá en asegurada y mantendrá el estado durante un tiempo de espera mayor.

3voto

Zander Puntos 456

Si sólo usas tu red local, utilizas un servidor de nombres local y no tienes conexión con sitios aleatorios en Internet, entonces no necesitas dejar el puerto 53 abierto. Pero si quieres usar Internet entonces necesitas ser capaz de traducir nombres de host a direcciones IP. Para eso necesitas el DNS.

2voto

Jacob Puntos 5509

¿Cuándo abriría el puerto 53? Supongo que cuando aloje zonas DNS. ¿Está ejecutando el DNS internamente o lo está subcontratando? Si lo ejecuta, será mejor que tenga el puerto 53 abierto si quiere que alguien obtenga los registros. Como usted dijo que tiene su DNS alojado en otro lugar no hay razón para mantener estos puertos abiertos, incluso con Vhosts y otras cosas.

En cuanto a la regla de IPtables no estoy seguro de lo que quieres decir con seguro, pero eso te abrirá el puerto.

0 votos

Gracias. El DNS está alojado en otro lugar - digamos Amazon Route53 o Network Solutions o cualquier otro lugar. Así que eso significa que puedo mantener esto cerrado, incluso si el uso de subdominios y directivas de host virtual?

0 votos

Y oops. Quise decir "abrir el puerto" no "asegurar el puerto". Editado

1voto

mangia Puntos 537

El DNS utiliza el puerto UDP 53

¿Por qué iba a necesitar esto?

Si quieres utilizar tu servidor como servidor DNS (por ejemplo, si alojas tus propios dominios)

1voto

venzen Puntos 145

Si el servidor de aplicaciones en cuestión no es un servidor DNS, no es necesario que el puerto 53 esté abierto. Un "puerto abierto" significa que el puerto es visible externamente para los clientes en la red (o fuera en Internet, posiblemente). Contrariamente a la creencia popular, un servidor o host no necesita tener el puerto 53 abierto para hacer consultas DNS salientes - no es así como funciona el modelo TCP/IP. Puedes ejecutar tcpdump en un host y luego hacer una búsqueda de DNS desde otro terminal o navegador para confirmarlo:

'tcpdump -n -s 1500 -i eth0 udp port 53'

Así que para responder a su pregunta: Sólo se abriría el puerto 53 en un host que esté ofreciendo servicios DNS a una red.

No es parte de su pregunta, pero sería aconsejable tener un cortafuegos instalado en todos y cada uno de los servidores de la red. Esto protege contra la intrusión de ataques originados fuera de la red, así como contra los virus/troyanos y los usuarios "muy inteligentes" (pero malignos) dentro de la red. Un cortafuegos también simplificaría la tarea de abrir y cerrar puertos, así como de establecer las políticas de acceso que se deseen, evitando así la necesidad de crear manualmente (y recordar) complejas iptables reglas.

1 votos

Parece que estás confundiendo las búsquedas de DNS a través de TCP (que ocurren en una minoría de casos, y no deberían usarse para la mayoría de las consultas) con las búsquedas de DNS a través de UDP. Algunos programas de cortafuegos (incluyendo iptables, como mencionó mindthemonkey en los comentarios de mi respuesta) rastrearán una conexión falsa y permitirán el tráfico como una conexión establecida, pero no te equivoques: UDP no tiene estado, y a menos que su cortafuegos sea inteligente al permitir respuestas a consultas recientes, necesita el puerto UDP 53 abierto para obtener paquetes en respuesta a sus consultas.

0 votos

Estoy cortésmente pero totalmente en desacuerdo con la necesidad declarada de que el puerto 53 esté abierto a los hosts externos para que el localhost resuelva el DNS. Estoy escribiendo este mensaje desde una máquina con el puerto 53 cerrado. El seguimiento de la conexión TCP en el firewall (localhost) gestiona la autenticidad de las consultas DNS que salen de puertos aleatorios por encima del puerto 1023.

1 votos

need for port 53 to be open to external hosts - No bloquear paquetes no significa responder al tráfico no solicitado o a las conexiones entrantes. Un bloqueo explícito en iptables podría tener prioridad sobre el tráfico establecido, dependiendo del orden de las reglas. TCP connection tracking on the firewall - en la mayoría de los casos las consultas DNS son tráfico UDP, el firewall de su SO está haciendo conjeturas sobre conexiones falsas - esto depende del SO/firewall. random ports above port 1023 - La aleatorización del puerto de origen del DNS es un mecanismo de seguridad para evitar el envenenamiento de la caché; el que se aplique de nuevo depende del sistema operativo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: