这是一个创建于 2088 天前的主题,其中的信息可能已经有所发展或是发生改变。
在设定了
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
后,DNS 无法解析。
然后再键入 iptables -A INPUT -p udp --dport 53 -j ACCEPT 后,DNS 解析正常。
让我感到不解的是,第三条规则中,为什么是 dport 而不是 sport(替换为后者后,解析失败)?
因为从规则含义上看,允许某处来自 53 端口的 udp 数据包进入本机,sport 更符合意义,但实际操作中却相反。
是不是我的 iptables 有无误解,请各位指教。
 |
1
zmz125000 2019-03-15 18:58:14 +08:00 via Android
53 是服务器端口,这里的 dport 是服务器端口
|
|
2
zmz125000 2019-03-15 18:59:44 +08:00 via Android
发起连接的端口是随机的
|
 |
3
fetich OP @zmz125000
这条规则写在 INPUT 链,匹配的数据包都是进入本机的。 对于这些数据包来讲,限定 dport 53 是指限制这些数据包的目的端口是本机 53 端口?这又与 #2 的回复矛盾,应该是 sport 53 更符合常理呀。 |
|
4
zmz125000 2019-03-16 01:39:28 +08:00 via Android  1
发等于 s
s->d |
Select Language