没有DNS解析

Question

我们的服务器管理员告诉我，我们的服务器没有DNS解析，因为它们对出站数据遵守严格的PCI规则。我不太明白这一点，因为服务器是用来托管一个所有网站都可以从URL访问的网站，但是当我通过远程桌面登录到服务器上时，我不能使用服务器上的互联网，即它可以提供数据，但不能发送出站数据。这怎麽可能？它怎么能通过发送http数据来访问互联网，但却不能解析DNS名称？

Answer 1

通常，在这种情况下，防火墙被配置为执行以下几项任务：

1. 仅允许特定服务端口(HTTP和HTTPS)上的入站连接。
2. 只允许与入站连接相关的出站连接(即。对客户端HTTP请求的响应)。在许多情况下，DNS请求被显式阻止。

这样可以防止服务器自己连接到其他IP地址，包括防止为DNS查找目的连接到DNS服务器。这是阻止服务器上的恶意代码在其他地方传输数据和下载其他数据的一种方法。它也阻止了服务器管理员在服务器上“浏览web”的能力，无论如何，他们都不应该这样做。

Answer 2

你所描述的可以通过有状态的防火墙来实现。

当入站TCP连接到达时，初始数据包的头设置了SYN位。这表示它是新TCP流中的第一个数据包。现在，如果防火墙允许它进入，例如端口80，则创建一个“状态”，并将其应用于同一流中的所有进一步数据包。防火墙将进一步允许与此状态匹配的任何数据包，其中包括从服务器发送到客户端的响应。

UDP和ICMP连接的跟踪有点模糊，因为从根本上说，它们是没有连接的。它们不包含在TCP会话中找到的任何流信息。但它的工作方式大致相同。

考虑到这一点，您的出站DNS查找将被防火墙隔离，因为连接是从内部启动的。而HTTP流量是从外部发起并被策略允许进入的。