Buenas.
Tengo dos servidores de los cuales el principal, el que atiende toda la red y tiene el firewall me gustaría ponerle BIND (dns), pero actualmente este también asigna IPs con "dnsmasq".
Intente instalar BIND pero existen conflictos debido a que "dnsmasq" ocupa el mismo puerto que intenta usar BIND.
Les paso el esquema:
## Router ISP IP: 192.168.1.254 DHCP: Relay (192.168.1.1).
## Servidor 1 IP eth0: 192.168.1.1 IP eth1: 10.0.1.1 GW: 192.168.1.254 Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
## Servidor 2 IP: 10.0.1.2 Servicios: Http (apache), MySQL y Postfix.
Saludos !
Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en todo caso, porque no usar dnsmasq con todas sus virtudes?
Saludos, David
El 16 de septiembre de 2013 18:46, angel jauregui darkdiabliyo@gmail.comescribió:
Buenas.
Tengo dos servidores de los cuales el principal, el que atiende toda la red y tiene el firewall me gustaría ponerle BIND (dns), pero actualmente este también asigna IPs con "dnsmasq".
Intente instalar BIND pero existen conflictos debido a que "dnsmasq" ocupa el mismo puerto que intenta usar BIND.
Les paso el esquema:
## Router ISP IP: 192.168.1.254 DHCP: Relay (192.168.1.1).
## Servidor 1 IP eth0: 192.168.1.1 IP eth1: 10.0.1.1 GW: 192.168.1.254 Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
## Servidor 2 IP: 10.0.1.2 Servicios: Http (apache), MySQL y Postfix.
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
David gracias por responder.
Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que mas virtudes pueda exploarle, las que uso son solo:
* asignar IPs al rango que quiero. * asignar IPs reservadas a ciertas MACs * establecer el pxeboot para instalacion de imagenes por red.
Saludos !
El 17 de septiembre de 2013 08:02, David González Romero < dgrvedado@gmail.com> escribió:
Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en todo caso, porque no usar dnsmasq con todas sus virtudes?
Saludos, David
El 16 de septiembre de 2013 18:46, angel jauregui darkdiabliyo@gmail.comescribió:
Buenas.
Tengo dos servidores de los cuales el principal, el que atiende toda la
red
y tiene el firewall me gustaría ponerle BIND (dns), pero actualmente este también asigna IPs con "dnsmasq".
Intente instalar BIND pero existen conflictos debido a que "dnsmasq"
ocupa
el mismo puerto que intenta usar BIND.
Les paso el esquema:
## Router ISP IP: 192.168.1.254 DHCP: Relay (192.168.1.1).
## Servidor 1 IP eth0: 192.168.1.1 IP eth1: 10.0.1.1 GW: 192.168.1.254 Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
## Servidor 2 IP: 10.0.1.2 Servicios: Http (apache), MySQL y Postfix.
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Y donde entre bind en el esa lista de deseos tuyos??
Saludos, David
El 17 de septiembre de 2013 11:18, angel jauregui darkdiabliyo@gmail.comescribió:
David gracias por responder.
Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que mas virtudes pueda exploarle, las que uso son solo:
- asignar IPs al rango que quiero.
- asignar IPs reservadas a ciertas MACs
- establecer el pxeboot para instalacion de imagenes por red.
Saludos !
El 17 de septiembre de 2013 08:02, David González Romero < dgrvedado@gmail.com> escribió:
Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en todo
caso,
porque no usar dnsmasq con todas sus virtudes?
Saludos, David
El 16 de septiembre de 2013 18:46, angel jauregui darkdiabliyo@gmail.comescribió:
Buenas.
Tengo dos servidores de los cuales el principal, el que atiende toda la
red
y tiene el firewall me gustaría ponerle BIND (dns), pero actualmente
este
también asigna IPs con "dnsmasq".
Intente instalar BIND pero existen conflictos debido a que "dnsmasq"
ocupa
el mismo puerto que intenta usar BIND.
Les paso el esquema:
## Router ISP IP: 192.168.1.254 DHCP: Relay (192.168.1.1).
## Servidor 1 IP eth0: 192.168.1.1 IP eth1: 10.0.1.1 GW: 192.168.1.254 Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
## Servidor 2 IP: 10.0.1.2 Servicios: Http (apache), MySQL y Postfix.
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Pues resulta que tengo que usar /etc/hosts para establecer el "ip nombre.dominio nombre" para ciertos servidores con IP fija que usan "etherchannel", en este casi el Servidor Principal (que tiene el Firewall, Dnsmasq y Squid) mantiene 2 tarjetas de red: una conectada al router ISP y otra al Switch (lan).
Ciertos servicios mediante IP Tables los resuelvo localmente en el server principal, otros solo los reenvio a otro server interno, a fin de cuentas note que si no especificaba en el /etc/hosts del server principal, no entraban en la URL las paginas :S !....
El detalle es que entre el Router ISP y la eth0 del Server principal se maneja un segmento de red 192.168.1.0/24 y entre la eth1 y la LAN el segmento: 10.0.1.0/24.
Vaya, de estarle moviendo al /etc/hosts, prefiero mejor hacer la zona con BIND, a fin de cuenta en un futuro usare registros TXT para configurar SPF v1 y v2.
Saludos !
Saludos !
El 17 de septiembre de 2013 10:38, David González Romero < dgrvedado@gmail.com> escribió:
Y donde entre bind en el esa lista de deseos tuyos??
Saludos, David
El 17 de septiembre de 2013 11:18, angel jauregui darkdiabliyo@gmail.comescribió:
David gracias por responder.
Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que mas virtudes pueda exploarle, las que uso son solo:
- asignar IPs al rango que quiero.
- asignar IPs reservadas a ciertas MACs
- establecer el pxeboot para instalacion de imagenes por red.
Saludos !
El 17 de septiembre de 2013 08:02, David González Romero < dgrvedado@gmail.com> escribió:
Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en todo
caso,
porque no usar dnsmasq con todas sus virtudes?
Saludos, David
El 16 de septiembre de 2013 18:46, angel jauregui darkdiabliyo@gmail.comescribió:
Buenas.
Tengo dos servidores de los cuales el principal, el que atiende toda
la
red
y tiene el firewall me gustaría ponerle BIND (dns), pero actualmente
este
también asigna IPs con "dnsmasq".
Intente instalar BIND pero existen conflictos debido a que "dnsmasq"
ocupa
el mismo puerto que intenta usar BIND.
Les paso el esquema:
## Router ISP IP: 192.168.1.254 DHCP: Relay (192.168.1.1).
## Servidor 1 IP eth0: 192.168.1.1 IP eth1: 10.0.1.1 GW: 192.168.1.254 Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
## Servidor 2 IP: 10.0.1.2 Servicios: Http (apache), MySQL y Postfix.
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Bueno con Bind puedes tener un completo DNS si lo configuras bien. Lo otro es, esos server de IP fija son de tu red??
Si son de tu red, no necesitas usar más /etc/hosts sino más bien habilitar el Forward entre tarjetas de red, para que la tarjeta LAN de tu server pueda ver a los IP de tus server que seguron están en el segmento ISP. De cualquier forma siempre es bueno hacer cambios para sistemas mas robustos y bind y dhcpd lo son, al menos para mi.
Saludos, David
El 17 de septiembre de 2013 11:45, angel jauregui darkdiabliyo@gmail.comescribió:
Pues resulta que tengo que usar /etc/hosts para establecer el "ip nombre.dominio nombre" para ciertos servidores con IP fija que usan "etherchannel", en este casi el Servidor Principal (que tiene el Firewall, Dnsmasq y Squid) mantiene 2 tarjetas de red: una conectada al router ISP y otra al Switch (lan).
Ciertos servicios mediante IP Tables los resuelvo localmente en el server principal, otros solo los reenvio a otro server interno, a fin de cuentas note que si no especificaba en el /etc/hosts del server principal, no entraban en la URL las paginas :S !....
El detalle es que entre el Router ISP y la eth0 del Server principal se maneja un segmento de red 192.168.1.0/24 y entre la eth1 y la LAN el segmento: 10.0.1.0/24.
Vaya, de estarle moviendo al /etc/hosts, prefiero mejor hacer la zona con BIND, a fin de cuenta en un futuro usare registros TXT para configurar SPF v1 y v2.
Saludos !
Saludos !
El 17 de septiembre de 2013 10:38, David González Romero < dgrvedado@gmail.com> escribió:
Y donde entre bind en el esa lista de deseos tuyos??
Saludos, David
El 17 de septiembre de 2013 11:18, angel jauregui darkdiabliyo@gmail.comescribió:
David gracias por responder.
Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que mas virtudes pueda exploarle, las que uso son solo:
- asignar IPs al rango que quiero.
- asignar IPs reservadas a ciertas MACs
- establecer el pxeboot para instalacion de imagenes por red.
Saludos !
El 17 de septiembre de 2013 08:02, David González Romero < dgrvedado@gmail.com> escribió:
Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en todo
caso,
porque no usar dnsmasq con todas sus virtudes?
Saludos, David
El 16 de septiembre de 2013 18:46, angel jauregui darkdiabliyo@gmail.comescribió:
Buenas.
Tengo dos servidores de los cuales el principal, el que atiende
toda
la
red
y tiene el firewall me gustaría ponerle BIND (dns), pero
actualmente
este
también asigna IPs con "dnsmasq".
Intente instalar BIND pero existen conflictos debido a que
"dnsmasq"
ocupa
el mismo puerto que intenta usar BIND.
Les paso el esquema:
## Router ISP IP: 192.168.1.254 DHCP: Relay (192.168.1.1).
## Servidor 1 IP eth0: 192.168.1.1 IP eth1: 10.0.1.1 GW: 192.168.1.254 Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
## Servidor 2 IP: 10.0.1.2 Servicios: Http (apache), MySQL y Postfix.
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias David por tu atencion...
El Servidor Web lo tengo en el segmento 10.0.1.0/24 tras el switch, los paquetes que entren y salgan pasan por la eth1 del Servidor Principal (firewall) y son enmascarados por la eth0 (en donde esta el segmento 192.168.1.0/24).
Te pongo mis reglas para ver si por favor me brindas tu opinion:
Servidor Principal. eth0 --> ip:192.168.1.1 va al router ISP (ip:192.168.1.254). eth1 --> ip:10.0.1.1 va al switch (red lan). * los externos (internet) solo ven y acceden al http, ftp y ssh.
## FIREWALL
iptables -F iptables -X iptables -Z iptables -t nat -F
# politicas por defecto iptables -P INPUT ACCEPT # aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind
# forwardnig iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT # de un sgemento a otro iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # viceversa
# enmascaramiento iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # enmascaramos hacia 192.168.1.2 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # todo lo que salga de la red, se enmascara iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 # squid
# denegaciones iptables -A INPUT -p tcp --dport 1000 -j DROP # denegar webmind externos iptables -A INPUT -p tcp --dport 1:1024 -j DROP # cerrar puertos privados iptables -A FORWARD -p tcp --dport 1000 -j DROP # denegar webmind reenvios externos #iptables -A FORWARD -j DROP
Saludos !
El 17 de septiembre de 2013 10:52, David González Romero < dgrvedado@gmail.com> escribió:
Bueno con Bind puedes tener un completo DNS si lo configuras bien. Lo otro es, esos server de IP fija son de tu red??
Si son de tu red, no necesitas usar más /etc/hosts sino más bien habilitar el Forward entre tarjetas de red, para que la tarjeta LAN de tu server pueda ver a los IP de tus server que seguron están en el segmento ISP. De cualquier forma siempre es bueno hacer cambios para sistemas mas robustos y bind y dhcpd lo son, al menos para mi.
Saludos, David
El 17 de septiembre de 2013 11:45, angel jauregui darkdiabliyo@gmail.comescribió:
Pues resulta que tengo que usar /etc/hosts para establecer el "ip nombre.dominio nombre" para ciertos servidores con IP fija que usan "etherchannel", en este casi el Servidor Principal (que tiene el
Firewall,
Dnsmasq y Squid) mantiene 2 tarjetas de red: una conectada al router ISP
y
otra al Switch (lan).
Ciertos servicios mediante IP Tables los resuelvo localmente en el server principal, otros solo los reenvio a otro server interno, a fin de cuentas note que si no especificaba en el /etc/hosts del server principal, no entraban en la URL las paginas :S !....
El detalle es que entre el Router ISP y la eth0 del Server principal se maneja un segmento de red 192.168.1.0/24 y entre la eth1 y la LAN el segmento: 10.0.1.0/24.
Vaya, de estarle moviendo al /etc/hosts, prefiero mejor hacer la zona con BIND, a fin de cuenta en un futuro usare registros TXT para configurar
SPF
v1 y v2.
Saludos !
Saludos !
El 17 de septiembre de 2013 10:38, David González Romero < dgrvedado@gmail.com> escribió:
Y donde entre bind en el esa lista de deseos tuyos??
Saludos, David
El 17 de septiembre de 2013 11:18, angel jauregui darkdiabliyo@gmail.comescribió:
David gracias por responder.
Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que
mas
virtudes pueda exploarle, las que uso son solo:
- asignar IPs al rango que quiero.
- asignar IPs reservadas a ciertas MACs
- establecer el pxeboot para instalacion de imagenes por red.
Saludos !
El 17 de septiembre de 2013 08:02, David González Romero < dgrvedado@gmail.com> escribió:
Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en
todo
caso,
porque no usar dnsmasq con todas sus virtudes?
Saludos, David
El 16 de septiembre de 2013 18:46, angel jauregui darkdiabliyo@gmail.comescribió:
Buenas.
Tengo dos servidores de los cuales el principal, el que atiende
toda
la
red
y tiene el firewall me gustaría ponerle BIND (dns), pero
actualmente
este
también asigna IPs con "dnsmasq".
Intente instalar BIND pero existen conflictos debido a que
"dnsmasq"
ocupa
el mismo puerto que intenta usar BIND.
Les paso el esquema:
## Router ISP IP: 192.168.1.254 DHCP: Relay (192.168.1.1).
## Servidor 1 IP eth0: 192.168.1.1 IP eth1: 10.0.1.1 GW: 192.168.1.254 Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
## Servidor 2 IP: 10.0.1.2 Servicios: Http (apache), MySQL y Postfix.
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Hay algo que yo a veces cuestiono. Si tienes un SQUID no considero necesario tanta reglas, salvo que tu servidor de Correo este fuera de tu red.
Yo haría algo así: #Si mi mail esta fuera de mi red iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -p tcp -i mail.dominio.com--dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -p tcp -i mail.dominio.com --dport 110 -j MASQUERADE # Esto para tirar todo al squid iptables -t nat -A PREROUTING -s 10.0.1.0/24 -p tcp --dport 1:65000 -j REDIRECT --to-port 3128 # Y por ultimo REJECT a todos iptables -A INPUT -s 10.0.1.0/24 -p all -j REJECT
Lo demás lo veo bien.
El 17 de septiembre de 2013 12:34, angel jauregui darkdiabliyo@gmail.comescribió:
Gracias David por tu atencion...
El Servidor Web lo tengo en el segmento 10.0.1.0/24 tras el switch, los paquetes que entren y salgan pasan por la eth1 del Servidor Principal (firewall) y son enmascarados por la eth0 (en donde esta el segmento 192.168.1.0/24).
Te pongo mis reglas para ver si por favor me brindas tu opinion:
Servidor Principal. eth0 --> ip:192.168.1.1 va al router ISP (ip:192.168.1.254). eth1 --> ip:10.0.1.1 va al switch (red lan).
- los externos (internet) solo ven y acceden al http, ftp y ssh.
## FIREWALL
iptables -F iptables -X iptables -Z iptables -t nat -F
# politicas por defecto iptables -P INPUT ACCEPT # aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat haciadentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todoiptables -A INPUT -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind
# forwardnig iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -jACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT #de un sgemento a otro iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # viceversa
# enmascaramientoiptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # enmascaramos hacia 192.168.1.2 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # todo lo que salga de la red, se enmascara iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 # squid
# denegaciones iptables -A INPUT -p tcp --dport 1000 -j DROP # denegar webmind externos iptables -A INPUT -p tcp --dport 1:1024 -j DROP # cerrar puertos privados iptables -A FORWARD -p tcp --dport 1000 -j DROP # denegar webmind reenvios externos #iptables -A FORWARD -j DROPSaludos !
El 17 de septiembre de 2013 10:52, David González Romero < dgrvedado@gmail.com> escribió:
Bueno con Bind puedes tener un completo DNS si lo configuras bien. Lo
otro
es, esos server de IP fija son de tu red??
Si son de tu red, no necesitas usar más /etc/hosts sino más bien
habilitar
el Forward entre tarjetas de red, para que la tarjeta LAN de tu server pueda ver a los IP de tus server que seguron están en el segmento ISP. De cualquier forma siempre es bueno hacer cambios para sistemas mas
robustos y
bind y dhcpd lo son, al menos para mi.
Saludos, David
El 17 de septiembre de 2013 11:45, angel jauregui darkdiabliyo@gmail.comescribió:
Pues resulta que tengo que usar /etc/hosts para establecer el "ip nombre.dominio nombre" para ciertos servidores con IP fija que usan "etherchannel", en este casi el Servidor Principal (que tiene el
Firewall,
Dnsmasq y Squid) mantiene 2 tarjetas de red: una conectada al router
ISP
y
otra al Switch (lan).
Ciertos servicios mediante IP Tables los resuelvo localmente en el
server
principal, otros solo los reenvio a otro server interno, a fin de
cuentas
note que si no especificaba en el /etc/hosts del server principal, no entraban en la URL las paginas :S !....
El detalle es que entre el Router ISP y la eth0 del Server principal se maneja un segmento de red 192.168.1.0/24 y entre la eth1 y la LAN el segmento: 10.0.1.0/24.
Vaya, de estarle moviendo al /etc/hosts, prefiero mejor hacer la zona
con
BIND, a fin de cuenta en un futuro usare registros TXT para configurar
SPF
v1 y v2.
Saludos !
Saludos !
El 17 de septiembre de 2013 10:38, David González Romero < dgrvedado@gmail.com> escribió:
Y donde entre bind en el esa lista de deseos tuyos??
Saludos, David
El 17 de septiembre de 2013 11:18, angel jauregui darkdiabliyo@gmail.comescribió:
David gracias por responder.
Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que
mas
virtudes pueda exploarle, las que uso son solo:
- asignar IPs al rango que quiero.
- asignar IPs reservadas a ciertas MACs
- establecer el pxeboot para instalacion de imagenes por red.
Saludos !
El 17 de septiembre de 2013 08:02, David González Romero < dgrvedado@gmail.com> escribió:
Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en
todo
caso,
porque no usar dnsmasq con todas sus virtudes?
Saludos, David
El 16 de septiembre de 2013 18:46, angel jauregui darkdiabliyo@gmail.comescribió:
> Buenas. > > Tengo dos servidores de los cuales el principal, el que atiende
toda
la
red > y tiene el firewall me gustaría ponerle BIND (dns), pero
actualmente
este
> también asigna IPs con "dnsmasq". > > Intente instalar BIND pero existen conflictos debido a que
"dnsmasq"
ocupa > el mismo puerto que intenta usar BIND. > > Les paso el esquema: > > ## Router ISP > IP: 192.168.1.254 > DHCP: Relay (192.168.1.1). > > ## Servidor 1 > IP eth0: 192.168.1.1 > IP eth1: 10.0.1.1 > GW: 192.168.1.254 > Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA. > > ## Servidor 2 > IP: 10.0.1.2 > Servicios: Http (apache), MySQL y Postfix. > > Saludos ! > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.cantu@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
angel jauregui -
David González Romero