[CentOS-es] problemas con DNS e IPTABLES

Roberto Panta Arcos roberto_panta en hotmail.com
Vie Sep 17 10:31:49 EDT 2010 

Muchas  gracias pero ya encontre ĺa respuesta. esta ahora es mi iptables
lo q pasaba es q no podia pinear y el los host no podian conectarse al server DNS e hice estos cambios a las politicas

echo -n Aplicando Reglas de Firewall por roberto panta arcos...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT    
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar

# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT

# para poder acceder al servidor DNS y poder salir a internet con el dns local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente
#del servidor al host se pinea con nombre pero del host al server no,con las dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa
#el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
#el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port 
iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT

# sin esta sentencia no hay pineo del lado: server->>>host pero si de host ->>> server
iptables -A INPUT -i eth1 -p ICMP -j ACCEPT

#las siguientes sentencias se probaron pero no tienen repercucion
#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT
#esta setencia estuvo en un tutorial pero no sirvio de naa
#iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535 -d any/0 -dport 53 -j ACCEPT

cerramos todo lo q no quiero
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP
# enmascaramiento de la red eth1
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE
#cerramos todos los puertos restantes
iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP 
iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script

y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de dominio negando el resto de puertos. y salir a internet desde mis clientes sin problemas.
GRACIAS

> From: domingov en linuxsc.net
> To: centos-es en centos.org
> Date: Thu, 16 Sep 2010 20:24:16 -0500
> Subject: Re: [CentOS-es] problemas con DNS e IPTABLES
> 
> Y ya probaste abriendo el puerto 53 tcp y udp en iptables
> 
> 
> -- mens. original --
> Asunto: [CentOS-es] problemas con DNS e IPTABLES
> De: Roberto Panta Arcos <roberto_panta en hotmail.com>
> Fecha: 16/09/2010 11:54
> 
> 
> Buenos dias
> tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio DNS para mi red local. El problema es cuando activo el iptables, alli solo puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo pinear con nombres e ip's
> 
> options {
>      directory "/var/named";
>      dump-file "/var/named/data/cache_dump.db";
>      statistics-file "/var/named/data/named_stats.txt";
>      allow-recursion {
>            127.0.0.1;
>            192.168.200.0/24;
> };
>      forwarders {
>            200.48.225.130;
>            200.48.225.146;
> };
>      forward first;   
> };
> zone "sicannet.com" {
>      type master;
>      file "sicannet.com.zone";
>      allow-update { none; };
> };
> zone "200.168.192.in-addr.arpa" {
>      type master;
>      file "200.168.192.in-addr.arpa.zone";
>      allow-update { none; };
> };
> include "/etc/rndc.key";
> *********************************************
> y el IPTABLES
> ********************************************
> echo -n 
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
> 
> ## Establecemos politica por defecto
> iptables -P INPUT ACCEPT    
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
> 
> ## Empezamos a filtrar
> 
> # El localhost se deja (por ejemplo conexiones locales a mysql)
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT
> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP
> iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE
> iptables -A INPUT -s 0/0 -p tcp --dport 10000 -j DROP 
> 
> # Fin del script
>  		 	   		  
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
> 
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
 		 	   		  
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20100917/712bfeed/attachment.html

Más información sobre la lista de distribución CentOS-es