Y ya probaste abriendo el puerto 53 tcp y udp en iptables
-- mens. original -- Asunto: [CentOS-es] problemas con DNS e IPTABLES De: Roberto Panta Arcos roberto_panta@hotmail.com Fecha: 16/09/2010 11:54
Buenos dias tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio DNS para mi red local. El problema es cuando activo el iptables, alli solo puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo pinear con nombres e ip's
options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; allow-recursion { 127.0.0.1; 192.168.200.0/24; }; forwarders { 200.48.225.130; 200.48.225.146; }; forward first; }; zone "sicannet.com" { type master; file "sicannet.com.zone"; allow-update { none; }; }; zone "200.168.192.in-addr.arpa" { type master; file "200.168.192.in-addr.arpa.zone"; allow-update { none; }; }; include "/etc/rndc.key"; ********************************************* y el IPTABLES ******************************************** echo -n ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F
## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 10000 -j DROP
# Fin del script _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Muchas gracias pero ya encontre ĺa respuesta. esta ahora es mi iptables lo q pasaba es q no podia pinear y el los host no podian conectarse al server DNS e hice estos cambios a las politicas
echo -n Aplicando Reglas de Firewall por roberto panta arcos...
## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F
## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# para poder acceder al servidor DNS y poder salir a internet con el dns local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente #del servidor al host se pinea con nombre pero del host al server no,con las dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa #el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT
# sin esta sentencia no hay pineo del lado: server->>>host pero si de host ->>> server iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
#las siguientes sentencias se probaron pero no tienen repercucion #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT #esta setencia estuvo en un tutorial pero no sirvio de naa #iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535 -d any/0 -dport 53 -j ACCEPT
cerramos todo lo q no quiero iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP # enmascaramiento de la red eth1 iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE #cerramos todos los puertos restantes iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n" # Fin del script
y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de dominio negando el resto de puertos. y salir a internet desde mis clientes sin problemas. GRACIAS
From: domingov@linuxsc.net To: centos-es@centos.org Date: Thu, 16 Sep 2010 20:24:16 -0500 Subject: Re: [CentOS-es] problemas con DNS e IPTABLES
Y ya probaste abriendo el puerto 53 tcp y udp en iptables
-- mens. original -- Asunto: [CentOS-es] problemas con DNS e IPTABLES De: Roberto Panta Arcos roberto_panta@hotmail.com Fecha: 16/09/2010 11:54
Buenos dias tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio DNS para mi red local. El problema es cuando activo el iptables, alli solo puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo pinear con nombres e ip's
options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; allow-recursion { 127.0.0.1; 192.168.200.0/24; }; forwarders { 200.48.225.130; 200.48.225.146; }; forward first; }; zone "sicannet.com" { type master; file "sicannet.com.zone"; allow-update { none; }; }; zone "200.168.192.in-addr.arpa" { type master; file "200.168.192.in-addr.arpa.zone"; allow-update { none; }; }; include "/etc/rndc.key";
y el IPTABLES
echo -n ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F
## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 10000 -j DROP
# Fin del script _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
Lic. Domingo Varela Y. -
Roberto Panta Arcos