CentOS下配置iptables碰到域名解析失败的问题

最新推荐文章于 2025-01-16 17:49:55 发布
原创 最新推荐文章于 2025-01-16 17:49:55 发布 · 8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ECS #iptables #域名解析

在阿里ECS上配置iptables后,遇到域名解析失败的问题。通过停止iptables服务确认问题源头,发现是iptables未开放DNS解析所需的53端口。尝试添加规则允许53端口的UDP和TCP通信,但问题仍然存在。阿里技术支持建议放开所有输入UDP端口,但问题仍未解决。最终,了解到iptables配置策略和nscd服务对域名解析速度的影响。

1,问题背景。

在阿里ECS上调用第三方短信接口,始终无法成功。接口不是IP地址,而是一个带域名的 URL接口。


2,问题原因

网络调测,首先便是两头一掐,确认别人根本没有收到我的请求,于是开始分析我发出去的报文。

根据发送请求返回的错误码,说是主机名无法解析。我用curl发送的请求,首先是百度一番,还真有人同样的错误码,但细一瞅,就觉得大不同,别人是什么IPV6影响。

我这个都没启动IPV6了。我 寻思 ,既然短信包发不出去,就curl下其它域名网站,百度主页简单,就拿它测试吧。果然不行,证实所有的域名解析都无法成功。

我自然想到了端口限制,为 了安全,配置了server的iptables策略。先证实下是不是这个原因。直接如下命令停用防火墙:service iptables stop,再运行程序,OK啦。

知道原因后,心中也不慌了,找资料得知域名解析用的53端口,于是iptables命令加上53端口(如下UDP和TCP都加满)。

iptables -A INPUT  -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT  -p udp --dport 53 -j ACCEPT
iptables -A INPUT  -p udp --sport 53 -j ACCEPT

iptables -A INPUT  -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 53 -j ACCEPT
iptables -A INPUT  -p tcp --sport 53 -j ACCEPT



满以为事情就OVER了,谁知只要启动iptables就不行。依然报域名无法解析。给阿里提了工单,答复如下:


心想,把所有input的端口都要放开,那安全控制咋整。先不管,按别人说的,执行iptables命令,把input的udp端口都放行,output和forward也不管。

结果是居然还不行,依然是域名无法解析,发送http请求,就卡在那了。阿里技术客服发来杀手锏:


事儿越整越复杂了。我继续网上找iptables资料,想着原因都知道了,应该好解决。
既然iptables把input的udp端口都放开了 ,为什么还不行了,难道域名解析还涉及到其他一些TCP端口,或者说我的UDP放行有问题。
而且端口都放开,iptables的 安全也没有意义了。比较好的解决方法是放行这个请求相关的连接响应报文。
iptables早就考虑了这一想法。我把如下命令加入到filter中,试过一切OK

#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A INPUT -m state --state INVALID -j DROP



3,知识延续

在解决问题的过程中,巩固了iptables用法,譬如增加端口,命令持久化到配置文件。

下面命令是启动和停用iptables,save是把策略保存到/etc/sysconfig/iptables里面,每次start直接从这个配置文件里面加载策略。

service iptables start

service iptables stop

service iptables save


一般input配置drop,output和forward配置accept,严格的 话也可配drop。

要注意的是:input配置drop,把ssh远程的自己也档在门外了,默认是22端口,如果server都 连不上,那就无语了....

所以最好是直接vi在etc/sysconfig/下的iptables配置文件,把22端口给予放行,然后再慢慢玩。


#iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT/DROP]

#iptables [-AI 链] [-io 网卡接口] [-p 协议] [-s 源ip/网段] [-d 目标ip/网段] -j [ACCEPT/DROP]


范例一:所有来自lo这个接口的数据包,都予以接受
#iptables -A INPUT -i lo -j ACCEPT


范例二:来自192.168.1.1这个IP的数据包都予以接收
#iptables -A INPUT -i eth0 -s 192.168.1.1 -j ACCEPT
不管什么数据包格式,只要来自192.168.1.1就予以接受


另外还了解到nscd服务,这个是域名解析的缓存,有了它,调用带域名的url接口会快很多(海量请求时)。


遇到问题之-centos能ping通外网ip不能解析域名的终极解决办法
萌兔兔MMQ!!
04-16 1389
一、找到/etc/resolv.conf文件,发现nameserver设置正常的请看第二步。 二、查看防火墙iptalbes配置,如开启,关闭后再试,如果不行,添加INPUT53sport即可。或者检查硬件防火墙是否开启DNS服务。 iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT //来自远程DNS服务器53端口的数据包进站通过 iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT //进入本地
基于CentOS 7.6安装Kubernetes 1.18.0单Master节点集群
Java大数据联盟
04-14 1213
基于CentOS安装Kubernetes单Master节点集群1 安装说明1.1 安装要求说明1.2 安装版本说明1.3 集群效果说明2 安装准备2.1 查看主机配置2.2 查看主机IP地址2.3 设置主机hostname3 安装步骤3.1 安装Docker和Kubelet3.2 初始化master节点3.3 初始化worker节点3.4 安装 Ingress Controller 1 安装说明 ...
IPv6系列-入门指南
weixin_34112208的博客
05-04 1513
本文是《IPv6系列》文章的第一篇《入门指南》,用于快速了解并上手IPv6。 小慢哥的原创文章,欢迎转载 目录 ▪ 一. 为什么要了解IPv6▪ 二. 顾虑:IPv6地址太复杂了,记不住啊▪ 三. 顾虑:每台服务器都有IPv6地址,会暴露整个内网,不安全▪ 四. 顾虑:IPv6地址有好几种类型,很难区分和记忆▪ 五. 需要学哪些知识▪ 六. IPv6基础知识▪ 七. IPv6地址生成▪ 八. ...
CentOS配置iptables碰到域名解析失败问题 不能ssh到别的服务器上问题
weixin_30323631的博客
05-24 280
# 允许已建立的或相关连的通行 #iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT (只有这一条就可以,为了安全起见将下面一条加上更好) #iptables -A INPUT -m state --state INVALID -j DROP ==============================...
centos域名不能解析
XIAOZHI0999的专栏
11-26 7590
笔记本装好linux服务器后,突然不能上网了,直接输入域名,打不开网站,但通过IP就能正常访问。后来问题顺利解决,主要参考了下面网页https://www.centos.org/forums/viewtopic.php?t=26327,上面说NetworkManager和network服务只能启一个,一般静态IP启动network,DHCP启动NetworkManager,但又说如果是笔记本需要在
docker设置iptables=false后无法解析DNS的解决方法
wang805447391的博客
10-12 4726
docker默认使用iptables进行网络配置,与ufw有点不兼容,ufw无法管控docker暴露出来的端口,可能会造成一定的安全问题,所以某些情况下需要将docker的iptables设置为false。 设置之后进入docker容器内部发现无法访问网络,只能与172.17.0.1网段通信。 解决方案如下: sudo systemctl edit docker.service [Service] ExecStartPre=/usr/sbin/iptables -t nat -A POSTROUTING -
docker容器无法解析域名
qq_42754484的博客
06-25 1673
docker容器无法解析域名
公司内部DNS无法解析某域名、或访问速度慢
★ 分享、传播、open source
12-21 5892
*** 无法访问部分站点 今天有同事反映,上不了 www.baixing.com 站点。查看解析 C:\>nslookup www.baixing.com 超时,无结果。查看日志 /var/log/messages named[17596]: error (FORMERR) resolving 'www.baixing.com/A/IN': 61.129.82.6#53
PaaS平台kubernetes svc解析5秒延时
lijunwusino的博客
01-16 737
而集群内请求 kube-dns 或 coredns 都是访问的CLUSTER-IP,报文最终会被 DNAT 成一个 endpoint 的 POD IP,当两个包被 DNAT 成同一个 IP,最终它们的五元组就相同了,在最终插入的时候后面那个包就会被丢掉,如果 dns 的 pod 副本只有一个实例的情况就很容易发生,现象就是 dns 请求超时,client 默认策略是等待 5s 自动重试,如果重试成功,我们看到的现象就是 dns 请求有 5s 的延时,另外还有个好处,就是避免DNS服务成为性能瓶颈。
【一步到位的Ecology9部署秘籍】:环境配置详解
![【一步到位的Ecology9部署秘籍】:环境配置详解]...随后,本文深入探讨了环境配置的实践操作,强调了问题诊断与解决、维护策略和优化技巧。最后,对于高级应用进行了讨论,包括多环境配置管理和性能优化。本
IPV6基础知识
王者再次归来
08-23 5241
目录 ▪ 一. 为什么要了解IPv6 ▪ 二. 顾虑:IPv6地址太复杂了,记不住啊 ▪ 三. 顾虑:每台服务器都有IPv6地址,会暴露整个内网,不安全 ▪ 四. 顾虑:IPv6地址有好几种类型,很难区分和记忆 ▪ 五. 需要学哪些知识 ▪ 六. IPv6基础知识 ▪ 七. IPv6地址生成 ▪ 八. 常用命令 ▪ 九. 在线测试工具 ▪ 十. 开启与关闭IPv6 ▪ 十一. 在CentOS7上...
Kubernetes从零部署,最后附上一键部署
十个菜
08-03 2107
本文将从零开始,在干净的机器上安装 Docker、Kubernetes (使用 kubeadm)、Calico、Helm、NFS StorageClass,通过手把手的教程演示如何搭建一个高可用生产级的 Kubernetes,并在 Kubernetes 集群之上安装开源的KubeSphere 容器平台可视化运营集群环境。 一、准备环境 开始部署之前,请先确定当前满足如下条件,本次集群搭建,所有机器处于同一内网网段,并且可以互相通信。 ⚠️⚠️⚠️:请详细阅读第一部分,后面的所有操作都是基于这个环境的.
iptables的conntrack表满了导致访问网站很慢
weixin_30357231的博客
09-03 319
现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常 分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”。kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比...
linux【网络】DNS 解析时快时慢,我该怎么办?
爱死亡机器人
07-29 3210
文章目录1. 回顾2. 域名与 DNS 解析3. 案例3.1 案例 1:DNS 解析失败3.2 案例 2:DNS 解析不稳定4.总结 1. 回顾 Linux 网络基于 TCP/IP 协议栈构建,而在协议栈的不同层,我们所关注的网络性能也不尽相同。 在应用层,我们关注的是应用程序的并发连接数、每秒请求数、处理延迟、错误数等,可以使用 wrk、JMeter 等工具,模拟用户的负载,得到想要的测试结果。 而在传输层,我们关注的是 TCP、UDP 等传输层协议的工作状况,比如 TCP 连接数、 TCP 重传、T
关于Linux系统中DNS解析慢的问题
wzy910926的博客
08-01 2067
背景:项目通过公网地址去访问第三方接口,如访问微信获取openId接口,请求时长有时长达20秒。 经分析得出,LINUX DNS客户端解析缓慢的其中一个原因是CentOS 6/CentOS 7总是需要等待AAAA(IPv6)的结果,即使关闭IPv6也没什么卵用。CentOS 6/CentOS 7中的DNS解析器对于ipv4和ipv6都使用同一个socket接口(如下图),在同时发出ipv4和ipv6解析请求后,只会收到一个ipv4的解析响应,此时socket将一处于“等待”模式,等待ipv6的解析响应,故
Linux性能优化实战:案例篇-DNS 解析时快时慢,我该怎么办?(37)
weixin_30235225的博客
09-16 667
一、上节回顾 上一节,我带你一起学习了网络性能的评估方法。简单回顾一下,Linux 网络基于 TCP/IP协议栈构建,而在协议栈的不同层,我们所关注的网络性能也不尽相同。 在应用层,我们关注的是应用程序的并发连接数、每秒请求数、处理延迟、错误数等,可以使用 wrk、Jmeter 等工具,模拟用户的负载,得到想要的测试结果。 而在传输层,我们关注的是 TCP、UDP 等传输层协议的工...
减少域名DNS解析时间将网页加载速度提升新层次-DNS缓存/预读取/拆分域名
weixin_34273046的博客
10-28 306
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables -L -t filter 输出很慢
笑面虎的专栏
02-07 4672
    出现这种情况时,不妨使用iptables -n- L -t filter试一下,多加了一个-n的命令行选项。     前几天在维护貌似无法上网的Linux服务器时,发现iptables -L -t filter命令输出非常慢。本以为系统内的某个进程占用了较多的CPU资源,但是用top命令查看,发现CPU的使用率较低。    仔细观察,发现每次在输出带有IP地址的规则时,都会停在
centos能ping通外网ip不能解析域名的终极解决办法
weixin_34112208的博客
11-14 708
一、找到/etc/resolv.conf文件,发现nameserver设置正常的请看第二步。二、查看防火墙iptalbes配置,如开启,关闭后再试,如果不行,添加INPUT53sport即可。或者检查硬件防火墙是否开启DNS服务。iptables-AINPUT-pudp-mudp--sport53-jACCEPT//来自远程DNS服务器53端口的数据包...
centos7配置 iptables防火墙
最新发布
07-02
### 配置 CentOS 7 上的 iptables 防火墙规则 在 CentOS 7 系统中,`iptables` 已被 `firewalld` 取代作为默认防火墙管理工具。然而,仍可通过安装 `iptables-services` 来使用传统的 `iptables` 命令进行配置。 #### 安装与启用 iptables 1. **停止并禁用 firewalld** ```bash systemctl stop firewalld systemctl disable firewalld.service ``` 2. **安装 iptables 及其服务组件** ```bash yum -y install iptables iptables-services ``` 3. **启动 iptables 并设置开机自启** ```bash systemctl start iptables systemctl enable iptables ``` 4. **保存当前配置以确保重启后生效** ```bash service iptables save ``` #### 基础配置命令 - **查看现有规则** ```bash iptables -L -n -v ``` - **清空所有规则(谨慎操作)** ```bash iptables -F ``` - **允许特定端口流量通过** 比如开放 TCP 协议的 80 端口: ```bash iptables -A INPUT -p tcp --dport 80 -j ACCEPT ``` - **限制特定 IP 地址访问** 添加对来自 192.168.10.103 的请求的限制,例如阻止 8601 端口: ```bash iptables -A INPUT -s 192.168.10.103 -p tcp --dport 8601 -j DROP ``` - **允许本地回环接口通信** ```bash iptables -A INPUT -i lo -j ACCEPT ``` - **设置默认策略** 设置默认拒绝所有传入连接,接受所有传出连接: ```bash iptables -P INPUT DROP iptables -P OUTPUT ACCEPT ``` - **保存更改** ```bash service iptables save ``` #### 示例:开放 SSH 访问 为了保证服务器的安全性同时又能远程管理,通常会开放 SSH 服务(默认为 22 端口),可以执行如下命令: ```bash iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT ``` 此命令添加了一条规则,允许新的 SSH 连接进入系统[^1]。 #### 示例:配置 SNAT 和 DNAT 对于需要网络地址转换的情况,比如将内部网络的多个设备映射到一个公网 IP 上,可以配置 SNAT 或者 DNAT 规则: - **SNAT(源地址转换)** ```bash iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ``` - **DNAT(目标地址转换)** 将外部请求转发至内网某台主机(假设为 192.168.1.100)上的 Web 服务: ```bash iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80 ``` 以上是基本的 `iptables` 配置流程和一些常用示例。实际应用中应根据具体需求调整规则,并测试其有效性以确保网络安全性和功能性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值