V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Laynooor
V2EX  ›  问与答

一个自建 DNS 服务器的问题想问一下大家

  •  
  •   Laynooor · 2018-03-23 12:46:37 +08:00 · 1600 次点击
    这是一个创建于 2439 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一共有两台服务器,一台阿里云美西,装了 RouterOS,跑 L2TP Server,Allow DNS Remote Request,安全组规则全开放。Ros 防火墙设置了个 5353 -> 53 的端口转发。

    一台阿里云上海,Centos,装了 Dnsmasq,配合 dnsmasq-china-list,国内域名向本地电信 DNS 服务器查询,其他域名向阿里云美西 5353 端口查询。

    后来接到阿里云的通知邮件,告诉我美西服务器有 Malicious Traffic 让我处理。于是安全组规则设置了 5353 和 53 端口,UDP 类型,仅允许阿里云上海访问。

    问题来了,这样设置之后在阿里云上海用 Dig 命令查询,返回结果总是

    [root@xxxxxx ~]# dig www.google.com @美西服务器地址 -p 5353
    
    ; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> www.google.com @美西服务器地址 -p 5353
    ;; global options: +cmd
    ;; connection timed out; no servers could be reached
    

    美西服务器安全组规则设置成 0.0.0.0/0 全部允许后,就能正常查询到。

    [root@xxxxxx ~]# dig www.google.com @美西服务器地址 -p 5353
    
    ; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> www.google.com @美西服务器地址 -p 5353
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61735
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;www.google.com.                        IN      A
    
    ;; ANSWER SECTION:
    www.google.com.         33      IN      A       172.217.0.36
    
    ;; Query time: 192 msec
    ;; SERVER: 美西服务器地址#5353(美西服务器地址)
    ;; WHEN: Fri Mar 23 12:27:22 CST 2018
    ;; MSG SIZE  rcvd: 48
    

    所以,我是哪里遗漏了什么?

    感谢指点。

    7 条回复    2018-03-23 13:28:55 +08:00
    msg7086
        1
    msg7086  
       2018-03-23 12:56:16 +08:00   ❤️ 1
    我猜是 5353 TCP。
    也有可能是 IP 的问题,你从上海 SSH 一下美西,看看自己的 IP 地址是否正确。
    Laynooor
        2
    Laynooor  
    OP
       2018-03-23 13:00:51 +08:00
    @msg7086 TCP 规则加了,没用。后来试着放行所有阿里上海的流量,也没用。

    SSH 过,IP 地址正确。
    Laynooor
        3
    Laynooor  
    OP
       2018-03-23 13:05:16 +08:00
    允许 5353 端口的所有流量( 0.0.0.0/0 ),无效。
    Laynooor
        4
    Laynooor  
    OP
       2018-03-23 13:13:15 +08:00
    允许 53 端口的所有流量( 0.0.0.0/0 )有效,但这样的规则会被利用进行攻击。
    AntonChen
        5
    AntonChen  
       2018-03-23 13:16:15 +08:00   ❤️ 1
    「 Ros 防火墙设置了个 5353 -> 53 的端口转发」设置规则贴出来看看
    Laynooor
        6
    Laynooor  
    OP
       2018-03-23 13:22:46 +08:00
    @AntonChen 确实在想是不是这个规则的问题…… 打码的 IP 是美西的外网 IP。



    之后试了下目标地址 127.0.0.1,无效。

    试了美西的内网 IP 172.20.x.x,有效。问题解决。
    msg7086
        7
    msg7086  
       2018-03-23 13:28:55 +08:00   ❤️ 1
    果然是规则错了,NAT 是转发到内网地址不是公网地址。

    (我想当然了以为转发规则是对的……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3773 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:53 · PVG 08:53 · LAX 16:53 · JFK 19:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.