[CentOS-es] DNS (bind) y DHCP (dnsmasq) ???
angel jauregui
darkdiabliyo en gmail.com
Mar Sep 17 16:34:56 UTC 2013
Gracias David por tu atencion...
El Servidor Web lo tengo en el segmento 10.0.1.0/24 tras el switch, los
paquetes que entren y salgan pasan por la eth1 del Servidor Principal
(firewall) y son enmascarados por la eth0 (en donde esta el segmento
192.168.1.0/24).
Te pongo mis reglas para ver si por favor me brindas tu opinion:
Servidor Principal.
eth0 --> ip:192.168.1.1 va al router ISP (ip:192.168.1.254).
eth1 --> ip:10.0.1.1 va al switch (red lan).
* los externos (internet) solo ven y acceden al http, ftp y ssh.
## FIREWALL
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# politicas por defecto
iptables -P INPUT ACCEPT # aceptamos entradas
iptables -P OUTPUT ACCEPT # aceptamos salidas
iptables -P FORWARD ACCEPT # aceptamos reenvios
iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera
iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro
echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
iptables -A INPUT -s 10.0.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
# ftp y ssh
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# http
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# https
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
# dns - dhcp
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
# portmapper/rpcbind
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
# samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
# samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
# squid
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
# squid cache
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
# nfs
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
# webmind
# forwardnig
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
# ftp y ssh
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
# dns - dhcp
iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
# dns -dhcp (udp)
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
# http
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
# https
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
# portmapper/rpcbind
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
# samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
# samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
# squid
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
# squid cache
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
# nfs
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
# asterisk
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
# webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT #
de un sgemento a otro
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT #
viceversa
# enmascaramiento
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
192.168.1.1 # enmascaramos hacia 192.168.1.2
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
# todo lo que salga de la red, se enmascara
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to 192.168.1.1:3128 # squid
# denegaciones
iptables -A INPUT -p tcp --dport 1000 -j DROP
# denegar webmind externos
iptables -A INPUT -p tcp --dport 1:1024 -j DROP
# cerrar puertos privados
iptables -A FORWARD -p tcp --dport 1000 -j DROP
# denegar webmind reenvios externos
#iptables -A FORWARD -j DROP
Saludos !
El 17 de septiembre de 2013 10:52, David González Romero <
dgrvedado en gmail.com> escribió:
> Bueno con Bind puedes tener un completo DNS si lo configuras bien. Lo otro
> es, esos server de IP fija son de tu red??
>
> Si son de tu red, no necesitas usar más /etc/hosts sino más bien habilitar
> el Forward entre tarjetas de red, para que la tarjeta LAN de tu server
> pueda ver a los IP de tus server que seguron están en el segmento ISP. De
> cualquier forma siempre es bueno hacer cambios para sistemas mas robustos y
> bind y dhcpd lo son, al menos para mi.
>
> Saludos,
> David
>
>
> El 17 de septiembre de 2013 11:45, angel jauregui
> <darkdiabliyo en gmail.com>escribió:
>
> > Pues resulta que tengo que usar /etc/hosts para establecer el "ip
> > nombre.dominio nombre" para ciertos servidores con IP fija que usan
> > "etherchannel", en este casi el Servidor Principal (que tiene el
> Firewall,
> > Dnsmasq y Squid) mantiene 2 tarjetas de red: una conectada al router ISP
> y
> > otra al Switch (lan).
> >
> > Ciertos servicios mediante IP Tables los resuelvo localmente en el server
> > principal, otros solo los reenvio a otro server interno, a fin de cuentas
> > note que si no especificaba en el /etc/hosts del server principal, no
> > entraban en la URL las paginas :S !....
> >
> > El detalle es que entre el Router ISP y la eth0 del Server principal se
> > maneja un segmento de red 192.168.1.0/24 y entre la eth1 y la LAN el
> > segmento: 10.0.1.0/24.
> >
> > Vaya, de estarle moviendo al /etc/hosts, prefiero mejor hacer la zona con
> > BIND, a fin de cuenta en un futuro usare registros TXT para configurar
> SPF
> > v1 y v2.
> >
> > Saludos !
> >
> > Saludos !
> >
> >
> > El 17 de septiembre de 2013 10:38, David González Romero <
> > dgrvedado en gmail.com> escribió:
> >
> > > Y donde entre bind en el esa lista de deseos tuyos??
> > >
> > > Saludos,
> > > David
> > >
> > >
> > > El 17 de septiembre de 2013 11:18, angel jauregui
> > > <darkdiabliyo en gmail.com>escribió:
> > >
> > > > David gracias por responder.
> > > >
> > > > Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que
> mas
> > > > virtudes pueda exploarle, las que uso son solo:
> > > >
> > > > * asignar IPs al rango que quiero.
> > > > * asignar IPs reservadas a ciertas MACs
> > > > * establecer el pxeboot para instalacion de imagenes por red.
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 17 de septiembre de 2013 08:02, David González Romero <
> > > > dgrvedado en gmail.com> escribió:
> > > >
> > > > > Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en
> todo
> > > > caso,
> > > > > porque no usar dnsmasq con todas sus virtudes?
> > > > >
> > > > > Saludos,
> > > > > David
> > > > >
> > > > >
> > > > > El 16 de septiembre de 2013 18:46, angel jauregui
> > > > > <darkdiabliyo en gmail.com>escribió:
> > > > >
> > > > > > Buenas.
> > > > > >
> > > > > > Tengo dos servidores de los cuales el principal, el que atiende
> > toda
> > > la
> > > > > red
> > > > > > y tiene el firewall me gustaría ponerle BIND (dns), pero
> > actualmente
> > > > este
> > > > > > también asigna IPs con "dnsmasq".
> > > > > >
> > > > > > Intente instalar BIND pero existen conflictos debido a que
> > "dnsmasq"
> > > > > ocupa
> > > > > > el mismo puerto que intenta usar BIND.
> > > > > >
> > > > > > Les paso el esquema:
> > > > > >
> > > > > > ## Router ISP
> > > > > > IP: 192.168.1.254
> > > > > > DHCP: Relay (192.168.1.1).
> > > > > >
> > > > > > ## Servidor 1
> > > > > > IP eth0: 192.168.1.1
> > > > > > IP eth1: 10.0.1.1
> > > > > > GW: 192.168.1.254
> > > > > > Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
> > > > > >
> > > > > > ## Servidor 2
> > > > > > IP: 10.0.1.2
> > > > > > Servicios: Http (apache), MySQL y Postfix.
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > > --
> > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > > >
> > > > > > Celular: (011-52-1)-899-871-17-22
> > > > > > E-Mail: angel.cantu en sie-group.net
> > > > > > Web: http://www.sie-group.net/
> > > > > > Cd. Reynosa Tamaulipas.
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.cantu en sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es