<div dir="ltr">Si tienes proxy y este no esta transparente y no haces el enmascaramiento, redireccionamiento de puertos (NAT) y portforwarding en ti script de iptables, no vas a navegar y solo podras hacer ping a google desde tu lan de dos formas o pones transparente el proxy o en su defecto eliminas este y haces forward a todo lo necesario desde tu firewall.<br>
<br>Otra cosa si el DNS lo resulves localmente en tu server estan bien als reglas de INPUT, si lo resulves a travez de los DNS de tu proveedor solo debes poner las de FORWARD al pureto 53.<br><br><br><div class="gmail_quote">
El 20 de agosto de 2008 13:28, GarZa <span dir="ltr"><<a href="mailto:garpon@gmail.com">garpon@gmail.com</a>></span> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hola, DNS funciona con UDP, así que las reglas TCP sobran, no obstante debería funcionar, que tipo de firewall has montado, ¿denegación por defecto? Quizás el atasco lo tengas en otro sitio. ¿has probado a hacer un ping a una dirección IP en lugar de al nombre? Asegúrate antes que has dado acceso a ICMP.<br>
<br>
También puedes probar a hacer log para depurar, por ejemplo:<br>
<br>
$IPTABLES -A INPUT -j LOG --log-prefix 'DROP '<br>
$IPTABLES -A OUTPUT -j LOG --log-prefix 'DROP '<br>
<br>
Un Saludo.<br>
<br>
Miguel A. Velasco escribió:<div><div></div><div class="Wj3C7c"><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hola a tod@s, estoy intentando configurar un firewall en mi empresa con iptables pero no consigo que se me resuelvan las querys dns.<br>
El servidor-firewall tiene montado además un proxy squid que funciona bien con todos los puertos abiertos.<br>
<br>
La parte de las iptables que concierne a los dns en el script es:<br>
echo "--> Aceptando las querys de DNS localmente y Forwarding"<br>
# Aceptando las consultas del Servicio Cache DNS<br>
iptables -A INPUT -i eth0 -s $ip_lan -p udp -m udp --sport 53 -j ACCEPT && echo "regla: 18 - OK!"<br>
iptables -A INPUT -i eth0 -s $ip_lan -p tcp -m tcp --sport 53 -j ACCEPT && echo "regla: 18,5 - OK!"<br>
iptables -A OUTPUT -o eth0 -s $ip_lan -p tcp -m tcp --dport 53 -j ACCEPT && echo "regla: 19 - OK!"<br>
iptables -A OUTPUT -o eth0 -s $ip_lan -p udp -m udp --dport 53 -j ACCEPT && echo "regla: 19,5 - OK!"<br>
iptables -A FORWARD -s $ip_lan -i eth0 -p tcp --dport 53 -j ACCEPT && echo "regla: 20 - OK!"<br>
iptables -A FORWARD -s $ip_lan -i eth0 -p udp --dport 53 -j ACCEPT && echo "regla: 21 - OK!"<br>
<br>
Donde: eth0 es la tarjeta que conecta con la LAN y eth1 con el router adsl. Además $ip_lan es el rango de IP´s de mi empresa (<a href="http://10.10.80.0/24" target="_blank">10.10.80.0/24</a>)<br>
<br>
Este servidor contiene lo siguiente en /etc/resolv.conf:<br>
<br>
search midominio_empresa.local<br>
nameserver <a href="http://195.235.113.3" target="_blank">195.235.113.3</a><br>
nameserver <a href="http://195.235.96.90" target="_blank">195.235.96.90</a><br>
<br>
En el momento que ejecuto las iptables ya no puedo ni hacer un ping <a href="http://google.es" target="_blank">google.es</a> desde el propio servidor, ni que decir tiene que el proxy se queda "seco" y ningún PC sale a internet por él.<br>
<br>
También he probado a montar un caché dns con mamed en este servidor que ha funcionado correctamente con el firewall "abierto" pero al activar las itables también a dejado de funcionar ....<br>
<br>
Lo cierto es que me he estancado en este punto y ando desorientado.<br>
Muchas gracias a tod@s por vuestro tiempo.<br>
<br>
Un saludo,<br>
Miguel Velasco<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
CentOS-es mailing list<br>
<a href="mailto:CentOS-es@centos.org" target="_blank">CentOS-es@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>
<br>
</blockquote>
<br>
_______________________________________________<br>
CentOS-es mailing list<br>
<a href="mailto:CentOS-es@centos.org" target="_blank">CentOS-es@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>
</div></div></blockquote></div><br></div>