Ubuntu Firewall blochează solicitările DNS către oaspetele VMWARE cu reguli de trafic de ieșire adăugate și potrivirea cu stare realizată

Aceasta este o problemă unică legată de interogările DNS (tcp/udp 53) chiar și cu reguli corecte UFW/iptables și nu se referă la /etc/resolv.conf

Pot da ping la Google DNS 8.8.8.8, dar nu pot rezolva google.com după ce am pornit gazda ufw. Am încercat să căutăm peste tot și am actualizat ufw și iptables în consecință pentru a permite interogări DNS și a permite conexiunea stabilită.

Statutul meu ufw numerotat legat de DNS este

Captură de ecran reguli UFW

Potrivire cu stare iptables -A INPUT -m stare --state ESTABLISHED,RELATED -j ACCEPT

Notă: vmnet 1/192.168.191.1/24, 192.168.191.130(oaspete), interfață publică eno4 Host.

Lucrul ciudat este că atunci când opresc gazda ufw, totul funcționează perfect din partea oaspeților. Cu toate acestea, pot face ping la orice adresă IP chiar și după ce am pornit firewall-ul.

sudo ufw status numerotat | grep 53

TCPDUMP FAILED pe UDP/TCP 53 numai după ce ping google.com prin 8.8.8.8

Captură de ecran (UFW pe gazdă)

Notă: UFW este dezactivat pentru oaspeți

După mult ajutor de la serverfault.com :P și un impuls de încurajare din partea lui Michael Hampton, am rezolvat în sfârșit semnele de confirmare ratate pentru interogările DNS, în timp ce totul a funcționat perfect.

Adevărata problemă a fost: -systemd-resolved nu a permis cumva interogări DNS de la alte IP-uri, cu excepția 127.0.0.1 după activarea UFW

Soluția este să distrugi fiecare ieșire de la VM-ul invitat setând marcajul la 2

iptables -t mangle -A IEȘIRE ! -s 192.168.191.130-j MARK --set-mark 2

unde 192.168.191.130 este clusterul din care nu ați dori să blocați UDP.

NOROC!!