Muchas gracias pero ya encontre ĺa respuesta. esta ahora es mi iptables lo q pasaba es q no podia pinear y el los host no podian conectarse al server DNS e hice estos cambios a las politicas
echo -n Aplicando Reglas de Firewall por roberto panta arcos... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT # para poder acceder al servidor DNS y poder salir a internet con el dns local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente #del servidor al host se pinea con nombre pero del host al server no,con las dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa #el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT # sin esta sentencia no hay pineo del lado: server->>>host pero si de host ->>> server iptables -A INPUT -i eth1 -p ICMP -j ACCEPT #las siguientes sentencias se probaron pero no tienen repercucion #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT #esta setencia estuvo en un tutorial pero no sirvio de naa #iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535 -d any/0 -dport 53 -j ACCEPT cerramos todo lo q no quiero iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP # enmascaramiento de la red eth1 iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE #cerramos todos los puertos restantes iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP echo " OK . Verifique que lo que se aplica con: iptables -L -n" # Fin del script y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de dominio negando el resto de puertos. y salir a internet desde mis clientes sin problemas. GRACIAS > From: [email protected] > To: [email protected] > Date: Thu, 16 Sep 2010 20:24:16 -0500 > Subject: Re: [CentOS-es] problemas con DNS e IPTABLES > > Y ya probaste abriendo el puerto 53 tcp y udp en iptables > > > -- mens. original -- > Asunto: [CentOS-es] problemas con DNS e IPTABLES > De: Roberto Panta Arcos <[email protected]> > Fecha: 16/09/2010 11:54 > > > Buenos dias > tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio > DNS para mi red local. El problema es cuando activo el iptables, alli solo > puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo > pinear con nombres e ip's > > options { > directory "/var/named"; > dump-file "/var/named/data/cache_dump.db"; > statistics-file "/var/named/data/named_stats.txt"; > allow-recursion { > 127.0.0.1; > 192.168.200.0/24; > }; > forwarders { > 200.48.225.130; > 200.48.225.146; > }; > forward first; > }; > zone "sicannet.com" { > type master; > file "sicannet.com.zone"; > allow-update { none; }; > }; > zone "200.168.192.in-addr.arpa" { > type master; > file "200.168.192.in-addr.arpa.zone"; > allow-update { none; }; > }; > include "/etc/rndc.key"; > ********************************************* > y el IPTABLES > ******************************************** > echo -n > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > ## Empezamos a filtrar > > # El localhost se deja (por ejemplo conexiones locales a mysql) > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT > iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT > iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT > iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT > iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP > iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE > iptables -A INPUT -s 0/0 -p tcp --dport 10000 -j DROP > > # Fin del script > > _______________________________________________ > CentOS-es mailing list > [email protected] > http://lists.centos.org/mailman/listinfo/centos-es > > _______________________________________________ > CentOS-es mailing list > [email protected] > http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________ CentOS-es mailing list [email protected] http://lists.centos.org/mailman/listinfo/centos-es
