iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。

RHL9.0です。以下は/etc/sysconfig/iptablesです。ネームサーバーは別に有り、IPを仮にaaa.bbb.ccc.dddとします。最初のところで:INPUT DROPだと、DNSのdig,nslookupともにできなくなりますが、ACCEPTだとちゃんとできます。でもそのときはファイアウォールは何でも通してるみたいです。何が原因なのでしょうか。この設定の仕方は許可したいパケットだけを通す設定なのではないのでしょうか。

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT

No.1 ベストアンサー 回答者： astronaut 回答日時： 2003/08/17 07:43

私はこんなふうにしてます．

#!/bin/bash

# 基本ポリシー
iptables -P INPUT DROP # 外部からのパケットは原則廃棄.
iptables -P FORWARD DROP # パケットの転送はしない.
iptables -P OUTPUT ACCEPT # 外部へのパケットは原則許可.

# 内部から接続を確立したコネクションのパケットは受け入れる（これがポイント）
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 受け入れたいポートがあれば個別に設定
iptables -A INPUT -i eth0 --protocol tcp --dport http -j ACCEPT

# 最後に設定を保存．
iptables-save > /etc/sysconfig/iptables

この回答への補足

ありがとうございます。おっしゃるとおりにやってみたところDNSサーバーに問い合わせることができました。しかし、あと一点気になるところがあるのですが、システムをシャットダウンさせるとnamedのところで5分ほど止まったあと、「rndc:connect　failed :time out」と表示されます。これはなぜなのでしょうか。

補足日時：2003/08/17 23:39

この回答へのお礼

-A INPUT -i lo -j ACCEPT　を付け加えたらうまくいきました。

お礼日時：2003/08/25 22:06