Re: [CentOS-es] Cómo abrir la resolución de DNS con iptables

Aldo Cobos aldocobos en gmail.com
Mie Ago 20 18:53:23 UTC 2008


Si tienes proxy y este no esta transparente y no haces el enmascaramiento,
redireccionamiento de puertos (NAT) y portforwarding en ti script de
iptables, no vas a navegar y solo podras hacer ping a google desde tu lan de
dos formas o pones transparente el proxy o en su defecto eliminas este y
haces forward a todo lo necesario desde tu firewall.

Otra cosa si el DNS lo resulves localmente en tu server estan bien als
reglas de INPUT, si lo resulves a travez de los DNS de tu proveedor solo
debes poner las de FORWARD al pureto 53.


El 20 de agosto de 2008 13:28, GarZa <garpon en gmail.com> escribió:

> Hola, DNS funciona con UDP, así que las reglas TCP sobran, no obstante
> debería funcionar, que tipo de firewall has montado, ¿denegación por
> defecto? Quizás el atasco lo tengas en otro sitio. ¿has probado a hacer un
> ping a una dirección IP en lugar de al nombre? Asegúrate antes que has dado
> acceso a ICMP.
>
> También puedes probar a hacer log para depurar, por ejemplo:
>
> $IPTABLES -A INPUT -j LOG --log-prefix 'DROP '
> $IPTABLES -A OUTPUT -j LOG --log-prefix 'DROP '
>
> Un Saludo.
>
> Miguel A. Velasco escribió:
>
>  Hola a tod en s, estoy intentando configurar un firewall en mi empresa con
>> iptables pero no consigo que se me resuelvan las querys dns.
>> El servidor-firewall tiene montado además un proxy squid que funciona bien
>> con todos los puertos abiertos.
>>
>> La parte de las iptables que concierne a los dns en el script es:
>> echo "--> Aceptando las querys de DNS localmente y Forwarding"
>> # Aceptando las consultas del Servicio Cache DNS
>> iptables -A INPUT -i eth0 -s $ip_lan -p udp -m udp --sport 53 -j ACCEPT &&
>> echo "regla: 18 - OK!"
>> iptables -A INPUT -i eth0 -s $ip_lan -p tcp -m tcp --sport 53 -j ACCEPT &&
>> echo "regla: 18,5 - OK!"
>> iptables -A OUTPUT -o eth0 -s $ip_lan -p tcp -m tcp --dport 53 -j ACCEPT
>> && echo "regla: 19 - OK!"
>> iptables -A OUTPUT -o eth0 -s $ip_lan -p udp -m udp --dport 53 -j ACCEPT
>> && echo "regla: 19,5 - OK!"
>> iptables -A FORWARD -s $ip_lan -i eth0 -p tcp --dport 53 -j ACCEPT && echo
>> "regla: 20 - OK!"
>> iptables -A FORWARD -s $ip_lan -i eth0 -p udp --dport 53 -j ACCEPT && echo
>> "regla: 21 - OK!"
>>
>> Donde: eth0 es la tarjeta que conecta con la LAN y eth1 con el router
>> adsl. Además $ip_lan es el rango de IP´s de mi empresa (10.10.80.0/24)
>>
>> Este servidor contiene lo siguiente en /etc/resolv.conf:
>>
>> search midominio_empresa.local
>> nameserver 195.235.113.3
>> nameserver 195.235.96.90
>>
>> En el momento que ejecuto las iptables ya no puedo ni hacer un ping
>> google.es desde el propio servidor, ni que decir tiene que el proxy se
>> queda "seco" y ningún PC sale a internet por él.
>>
>> También he probado a montar un caché dns con mamed en este servidor que ha
>> funcionado correctamente con el firewall "abierto" pero al activar las
>> itables también a dejado de funcionar ....
>>
>> Lo cierto es que me he estancado en este punto y ando desorientado.
>> Muchas gracias a tod en s por vuestro tiempo.
>>
>> Un saludo,
>> Miguel Velasco
>>
>>
>>
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20080820/e792f5eb/attachment.htm


Más información sobre la lista de distribución CentOS-es