[CentOS-es] DNS (bind) y DHCP (dnsmasq) ???
David González Romero
dgrvedado en gmail.com
Mar Sep 17 21:07:33 UTC 2013
Hay algo que yo a veces cuestiono. Si tienes un SQUID no considero
necesario tanta reglas, salvo que tu servidor de Correo este fuera de tu
red.
Yo haría algo así:
#Si mi mail esta fuera de mi red
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -p tcp -i
mail.dominio.com--dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -p tcp -i
mail.dominio.com --dport
110 -j MASQUERADE
# Esto para tirar todo al squid
iptables -t nat -A PREROUTING -s 10.0.1.0/24 -p tcp --dport 1:65000 -j
REDIRECT --to-port 3128
# Y por ultimo REJECT a todos
iptables -A INPUT -s 10.0.1.0/24 -p all -j REJECT
Lo demás lo veo bien.
El 17 de septiembre de 2013 12:34, angel jauregui
<darkdiabliyo en gmail.com>escribió:
> Gracias David por tu atencion...
>
> El Servidor Web lo tengo en el segmento 10.0.1.0/24 tras el switch, los
> paquetes que entren y salgan pasan por la eth1 del Servidor Principal
> (firewall) y son enmascarados por la eth0 (en donde esta el segmento
> 192.168.1.0/24).
>
> Te pongo mis reglas para ver si por favor me brindas tu opinion:
>
> Servidor Principal.
> eth0 --> ip:192.168.1.1 va al router ISP (ip:192.168.1.254).
> eth1 --> ip:10.0.1.1 va al switch (red lan).
> * los externos (internet) solo ven y acceden al http, ftp y ssh.
>
> ## FIREWALL
>
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # politicas por defecto
> iptables -P INPUT ACCEPT # aceptamos entradas
> iptables -P OUTPUT ACCEPT # aceptamos salidas
> iptables -P FORWARD ACCEPT # aceptamos reenvios
> iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera
> iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia
> dentro
> echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
> reenvios
>
> iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> iptables -A INPUT -s 10.0.1.0/24 -j ACCEPT
> iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> # webmind
>
> # forwardnig
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
> # dns -dhcp (udp)
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> # asterisk
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> # webmind para LAN
>
> iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT #
> de un sgemento a otro
> iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT #
> viceversa
>
> # enmascaramiento
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
> 192.168.1.1 # enmascaramos hacia 192.168.1.2
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
> MASQUERADE
> # todo lo que salga de la red, se enmascara
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
> --to 192.168.1.1:3128 # squid
>
>
> # denegaciones
> iptables -A INPUT -p tcp --dport 1000 -j DROP
> # denegar webmind externos
> iptables -A INPUT -p tcp --dport 1:1024 -j DROP
> # cerrar puertos privados
> iptables -A FORWARD -p tcp --dport 1000 -j DROP
> # denegar webmind reenvios externos
> #iptables -A FORWARD -j DROP
>
> Saludos !
>
>
> El 17 de septiembre de 2013 10:52, David González Romero <
> dgrvedado en gmail.com> escribió:
>
> > Bueno con Bind puedes tener un completo DNS si lo configuras bien. Lo
> otro
> > es, esos server de IP fija son de tu red??
> >
> > Si son de tu red, no necesitas usar más /etc/hosts sino más bien
> habilitar
> > el Forward entre tarjetas de red, para que la tarjeta LAN de tu server
> > pueda ver a los IP de tus server que seguron están en el segmento ISP. De
> > cualquier forma siempre es bueno hacer cambios para sistemas mas
> robustos y
> > bind y dhcpd lo son, al menos para mi.
> >
> > Saludos,
> > David
> >
> >
> > El 17 de septiembre de 2013 11:45, angel jauregui
> > <darkdiabliyo en gmail.com>escribió:
> >
> > > Pues resulta que tengo que usar /etc/hosts para establecer el "ip
> > > nombre.dominio nombre" para ciertos servidores con IP fija que usan
> > > "etherchannel", en este casi el Servidor Principal (que tiene el
> > Firewall,
> > > Dnsmasq y Squid) mantiene 2 tarjetas de red: una conectada al router
> ISP
> > y
> > > otra al Switch (lan).
> > >
> > > Ciertos servicios mediante IP Tables los resuelvo localmente en el
> server
> > > principal, otros solo los reenvio a otro server interno, a fin de
> cuentas
> > > note que si no especificaba en el /etc/hosts del server principal, no
> > > entraban en la URL las paginas :S !....
> > >
> > > El detalle es que entre el Router ISP y la eth0 del Server principal se
> > > maneja un segmento de red 192.168.1.0/24 y entre la eth1 y la LAN el
> > > segmento: 10.0.1.0/24.
> > >
> > > Vaya, de estarle moviendo al /etc/hosts, prefiero mejor hacer la zona
> con
> > > BIND, a fin de cuenta en un futuro usare registros TXT para configurar
> > SPF
> > > v1 y v2.
> > >
> > > Saludos !
> > >
> > > Saludos !
> > >
> > >
> > > El 17 de septiembre de 2013 10:38, David González Romero <
> > > dgrvedado en gmail.com> escribió:
> > >
> > > > Y donde entre bind en el esa lista de deseos tuyos??
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > > El 17 de septiembre de 2013 11:18, angel jauregui
> > > > <darkdiabliyo en gmail.com>escribió:
> > > >
> > > > > David gracias por responder.
> > > > >
> > > > > Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que
> > mas
> > > > > virtudes pueda exploarle, las que uso son solo:
> > > > >
> > > > > * asignar IPs al rango que quiero.
> > > > > * asignar IPs reservadas a ciertas MACs
> > > > > * establecer el pxeboot para instalacion de imagenes por red.
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 17 de septiembre de 2013 08:02, David González Romero <
> > > > > dgrvedado en gmail.com> escribió:
> > > > >
> > > > > > Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en
> > todo
> > > > > caso,
> > > > > > porque no usar dnsmasq con todas sus virtudes?
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > > El 16 de septiembre de 2013 18:46, angel jauregui
> > > > > > <darkdiabliyo en gmail.com>escribió:
> > > > > >
> > > > > > > Buenas.
> > > > > > >
> > > > > > > Tengo dos servidores de los cuales el principal, el que atiende
> > > toda
> > > > la
> > > > > > red
> > > > > > > y tiene el firewall me gustaría ponerle BIND (dns), pero
> > > actualmente
> > > > > este
> > > > > > > también asigna IPs con "dnsmasq".
> > > > > > >
> > > > > > > Intente instalar BIND pero existen conflictos debido a que
> > > "dnsmasq"
> > > > > > ocupa
> > > > > > > el mismo puerto que intenta usar BIND.
> > > > > > >
> > > > > > > Les paso el esquema:
> > > > > > >
> > > > > > > ## Router ISP
> > > > > > > IP: 192.168.1.254
> > > > > > > DHCP: Relay (192.168.1.1).
> > > > > > >
> > > > > > > ## Servidor 1
> > > > > > > IP eth0: 192.168.1.1
> > > > > > > IP eth1: 10.0.1.1
> > > > > > > GW: 192.168.1.254
> > > > > > > Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA.
> > > > > > >
> > > > > > > ## Servidor 2
> > > > > > > IP: 10.0.1.2
> > > > > > > Servicios: Http (apache), MySQL y Postfix.
> > > > > > >
> > > > > > > Saludos !
> > > > > > >
> > > > > > > --
> > > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > > > >
> > > > > > > Celular: (011-52-1)-899-871-17-22
> > > > > > > E-Mail: angel.cantu en sie-group.net
> > > > > > > Web: http://www.sie-group.net/
> > > > > > > Cd. Reynosa Tamaulipas.
> > > > > > > _______________________________________________
> > > > > > > CentOS-es mailing list
> > > > > > > CentOS-es en centos.org
> > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > >
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > >
> > > > > Celular: (011-52-1)-899-871-17-22
> > > > > E-Mail: angel.cantu en sie-group.net
> > > > > Web: http://www.sie-group.net/
> > > > > Cd. Reynosa Tamaulipas.
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.cantu en sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es