Re: [CentOS-es] Cómo abrir la resolución de DNS con iptables
nightduke
nightduke2005 en gmail.com
Mie Ago 20 14:14:17 UTC 2008
Pero porque quieres bloquear las dns si asi ya te funciona.
¿Para que activar iptables contra las dns?
Nightduke
El día 20 de agosto de 2008 11:53, Miguel A. Velasco
<miguel.suscripcion en gmail.com> escribió:
> Hola a tod en s, estoy intentando configurar un firewall en mi empresa con
> iptables pero no consigo que se me resuelvan las querys dns.
> El servidor-firewall tiene montado además un proxy squid que funciona bien
> con todos los puertos abiertos.
>
> La parte de las iptables que concierne a los dns en el script es:
> echo "--> Aceptando las querys de DNS localmente y Forwarding"
> # Aceptando las consultas del Servicio Cache DNS
> iptables -A INPUT -i eth0 -s $ip_lan -p udp -m udp --sport 53 -j ACCEPT &&
> echo "regla: 18 - OK!"
> iptables -A INPUT -i eth0 -s $ip_lan -p tcp -m tcp --sport 53 -j ACCEPT &&
> echo "regla: 18,5 - OK!"
> iptables -A OUTPUT -o eth0 -s $ip_lan -p tcp -m tcp --dport 53 -j ACCEPT &&
> echo "regla: 19 - OK!"
> iptables -A OUTPUT -o eth0 -s $ip_lan -p udp -m udp --dport 53 -j ACCEPT &&
> echo "regla: 19,5 - OK!"
> iptables -A FORWARD -s $ip_lan -i eth0 -p tcp --dport 53 -j ACCEPT && echo
> "regla: 20 - OK!"
> iptables -A FORWARD -s $ip_lan -i eth0 -p udp --dport 53 -j ACCEPT && echo
> "regla: 21 - OK!"
>
> Donde: eth0 es la tarjeta que conecta con la LAN y eth1 con el router adsl.
> Además $ip_lan es el rango de IP´s de mi empresa (10.10.80.0/24)
>
> Este servidor contiene lo siguiente en /etc/resolv.conf:
>
> search midominio_empresa.local
> nameserver 195.235.113.3
> nameserver 195.235.96.90
>
> En el momento que ejecuto las iptables ya no puedo ni hacer un ping
> google.es desde el propio servidor, ni que decir tiene que el proxy se queda
> "seco" y ningún PC sale a internet por él.
>
> También he probado a montar un caché dns con mamed en este servidor que ha
> funcionado correctamente con el firewall "abierto" pero al activar las
> itables también a dejado de funcionar ....
>
> Lo cierto es que me he estancado en este punto y ando desorientado.
> Muchas gracias a tod en s por vuestro tiempo.
>
> Un saludo,
> Miguel Velasco
>
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es