[CentOS-es] Cómo abrir la resolución de DNS con iptables

GarZa garpon en gmail.com
Mie Ago 20 18:28:42 UTC 2008 

Hola, DNS funciona con UDP, así que las reglas TCP sobran, no obstante 
debería funcionar, que tipo de firewall has montado, ¿denegación por 
defecto? Quizás el atasco lo tengas en otro sitio. ¿has probado a hacer 
un ping a una dirección IP en lugar de al nombre? Asegúrate antes que 
has dado acceso a ICMP.

También puedes probar a hacer log para depurar, por ejemplo:

$IPTABLES -A INPUT -j LOG --log-prefix 'DROP '
$IPTABLES -A OUTPUT -j LOG --log-prefix 'DROP '

Un Saludo.

Miguel A. Velasco escribió:
> Hola a tod en s, estoy intentando configurar un firewall en mi empresa 
> con iptables pero no consigo que se me resuelvan las querys dns.
> El servidor-firewall tiene montado además un proxy squid que funciona 
> bien con todos los puertos abiertos.
>
> La parte de las iptables que concierne a los dns en el script es:
> echo "--> Aceptando las querys de DNS localmente y Forwarding"
> # Aceptando las consultas del Servicio Cache DNS
> iptables -A INPUT -i eth0 -s $ip_lan -p udp -m udp --sport 53 -j 
> ACCEPT && echo "regla: 18 - OK!"
> iptables -A INPUT -i eth0 -s $ip_lan -p tcp -m tcp --sport 53 -j 
> ACCEPT && echo "regla: 18,5 - OK!"
> iptables -A OUTPUT -o eth0 -s $ip_lan -p tcp -m tcp --dport 53 -j 
> ACCEPT && echo "regla: 19 - OK!"
> iptables -A OUTPUT -o eth0 -s $ip_lan -p udp -m udp --dport 53 -j 
> ACCEPT && echo "regla: 19,5 - OK!"
> iptables -A FORWARD -s $ip_lan -i eth0 -p tcp --dport 53 -j ACCEPT && 
> echo "regla: 20 - OK!"
> iptables -A FORWARD -s $ip_lan -i eth0 -p udp --dport 53 -j ACCEPT && 
> echo "regla: 21 - OK!"
>
> Donde: eth0 es la tarjeta que conecta con la LAN y eth1 con el router 
> adsl. Además $ip_lan es el rango de IP´s de mi empresa (10.10.80.0/24)
>
> Este servidor contiene lo siguiente en /etc/resolv.conf:
>
> search midominio_empresa.local
> nameserver 195.235.113.3
> nameserver 195.235.96.90
>
> En el momento que ejecuto las iptables ya no puedo ni hacer un ping 
> google.es desde el propio servidor, ni que decir tiene que el proxy se 
> queda "seco" y ningún PC sale a internet por él.
>
> También he probado a montar un caché dns con mamed en este servidor 
> que ha funcionado correctamente con el firewall "abierto" pero al 
> activar las itables también a dejado de funcionar ....
>
> Lo cierto es que me he estancado en este punto y ando desorientado.
> Muchas gracias a tod en s por vuestro tiempo.
>
> Un saludo,
> Miguel Velasco
>
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Más información sobre la lista de distribución CentOS-es