<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style>
</head>
<body class='hmmessage'>
Muchas gracias pero ya encontre åa respuesta. esta ahora es mi iptables<br>lo q pasaba es q no podia pinear y el los host no podian conectarse al server DNS e hice estos cambios a las politicas<br><br>echo -n Aplicando Reglas de Firewall por roberto panta arcos...<br><br>## FLUSH de reglas<br>iptables -F<br>iptables -X<br>iptables -Z<br>iptables -t nat -F<br><br>## Establecemos politica por defecto<br>iptables -P INPUT ACCEPT <br>iptables -P OUTPUT ACCEPT<br>iptables -P FORWARD ACCEPT<br>iptables -t nat -P PREROUTING ACCEPT<br>iptables -t nat -P POSTROUTING ACCEPT<br><br>## Empezamos a filtrar<br><br># El localhost se deja (por ejemplo conexiones locales a mysql)<br>iptables -A INPUT -i lo -j ACCEPT<br><br>iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT<br>iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT<br>iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT<br><br># para poder acceder al servidor DNS y poder salir a internet con el dns local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente<br>#del servidor al host se pinea con nombre pero del host al server no,con las dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa<br>#el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP<br>iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT<br>iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT<br>#el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port <br>iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT<br><br># sin esta sentencia no hay pineo del lado: server->>>host pero si de host ->>> server<br>iptables -A INPUT -i eth1 -p ICMP -j ACCEPT<br><br>#las siguientes sentencias se probaron pero no tienen repercucion<br>#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT<br>#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT<br>#esta setencia estuvo en un tutorial pero no sirvio de naa<br>#iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535 -d any/0 -dport 53 -j ACCEPT<br><br>cerramos todo lo q no quiero<br>iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP<br># enmascaramiento de la red eth1<br>iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE<br>#cerramos todos los puertos restantes<br>iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP <br>iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP<br><br>echo " OK . Verifique que lo que se aplica con: iptables -L -n"<br># Fin del script<br><br>y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de dominio negando el resto de puertos. y salir a internet desde mis clientes sin problemas.<br>GRACIAS<br><br>> From: domingov@linuxsc.net<br>> To: centos-es@centos.org<br>> Date: Thu, 16 Sep 2010 20:24:16 -0500<br>> Subject: Re: [CentOS-es] problemas con DNS e IPTABLES<br>> <br>> Y ya probaste abriendo el puerto 53 tcp y udp en iptables<br>> <br>> <br>> -- mens. original --<br>> Asunto: [CentOS-es] problemas con DNS e IPTABLES<br>> De: Roberto Panta Arcos <roberto_panta@hotmail.com><br>> Fecha: 16/09/2010 11:54<br>> <br>> <br>> Buenos dias<br>> tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio DNS para mi red local. El problema es cuando activo el iptables, alli solo puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo pinear con nombres e ip's<br>> <br>> options {<br>> directory "/var/named";<br>> dump-file "/var/named/data/cache_dump.db";<br>> statistics-file "/var/named/data/named_stats.txt";<br>> allow-recursion {<br>> 127.0.0.1;<br>> 192.168.200.0/24;<br>> };<br>> forwarders {<br>> 200.48.225.130;<br>> 200.48.225.146;<br>> };<br>> forward first; <br>> };<br>> zone "sicannet.com" {<br>> type master;<br>> file "sicannet.com.zone";<br>> allow-update { none; };<br>> };<br>> zone "200.168.192.in-addr.arpa" {<br>> type master;<br>> file "200.168.192.in-addr.arpa.zone";<br>> allow-update { none; };<br>> };<br>> include "/etc/rndc.key";<br>> *********************************************<br>> y el IPTABLES<br>> ********************************************<br>> echo -n <br>> ## FLUSH de reglas<br>> iptables -F<br>> iptables -X<br>> iptables -Z<br>> iptables -t nat -F<br>> <br>> ## Establecemos politica por defecto<br>> iptables -P INPUT ACCEPT <br>> iptables -P OUTPUT ACCEPT<br>> iptables -P FORWARD ACCEPT<br>> iptables -t nat -P PREROUTING ACCEPT<br>> iptables -t nat -P POSTROUTING ACCEPT<br>> <br>> ## Empezamos a filtrar<br>> <br>> # El localhost se deja (por ejemplo conexiones locales a mysql)<br>> iptables -A INPUT -i lo -j ACCEPT<br>> iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT<br>> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT<br>> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT<br>> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT<br>> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT<br>> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP<br>> iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE<br>> iptables -A INPUT -s 0/0 -p tcp --dport 10000 -j DROP <br>> <br>> # Fin del script<br>> <br>> _______________________________________________<br>> CentOS-es mailing list<br>> CentOS-es@centos.org<br>> http://lists.centos.org/mailman/listinfo/centos-es<br>> <br>> _______________________________________________<br>> CentOS-es mailing list<br>> CentOS-es@centos.org<br>> http://lists.centos.org/mailman/listinfo/centos-es<br> </body>
</html>