El 10 de octubre de 2014, 19:56, Lic. Domingo Varela Yahuitl < [email protected]> escribió:
> > > > > > > Que tal a todos.. buen dia... nuevamente recurro a la comunidad para > saber > > > si alguien de uds me da un norte ya que le he buscado las patas al > gato y no > > > los encuentro, esta vez se trata de que tengo una caja con debian y un > > > segmento de ips publicas /23 y de la lan se trata de un segmento 10/8 > > > > > > El problema se trata de que mi lan (10.0.0.0/8 <-- eth1 ) tenga > internet > > > (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos > > > segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al > tratar de > > > salir a internet tenga obviamente una ip homologada, obviamente eso ya > lo > > > tengo realizado, aqui el detalle es que no puedo realizar consultas de > DNS, > > > unicamente veo las ips de google o yahoo usando ping, y las consultas > via > > > dns (nslookup o dig) no me esta funcionando... > > > > > > > > > Anexo mi script para ver si alguien me dice en que estoy fallando > > > > > > > > > NET="eth5" > > > LAN_IN="eth3" > > > > > > iptables -F > > > iptables -X > > > iptables -t nat -F > > > iptables -t nat -X > > > iptables -t mangle -F > > > iptables -t mangle -X > > > > > > # > > > modprobe ip_conntrack > > > modprobe ip_conntrack_ftp > > > modprobe ip_conntrack_irc > > > modprobe ip_nat_ftp > > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > > > iptables -P INPUT DROP > > > iptables -P OUTPUT ACCEPT > > > > > > iptables -A INPUT -i lo -j ACCEPT > > > iptables -A OUTPUT -o lo -j ACCEPT > > > iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j > ACCEPT > > > > > > #iptables --table nat --append POSTROUTING --out-interface $NET -j > > > MASQUERADE > > > iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT > --to-source > > > 201.111.222.254-201.111.223.254 > > > > > > iptables --append FORWARD -j ACCEPT > > > > > > iptables -A INPUT -i $LAN_IN -j ACCEPT > > > iptables -A OUTPUT -o $LAN_IN -j ACCEPT > > > iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT > > > > > > iptables -A INPUT -j DROP > > > > > > > > > Con este script yo puedo conectarme a servers usando la ip, pero si > uso el > > > nombre del server, o hago una consulta via dns, este simplemente no lo > > > realiza porque no esta saliendo sus peticiones.. la verdad no tengo > idea de > > > donde rayos colocar la regla > > > Hola me he mirado un poco tus reglas y no veo una regla que permita el trafico entrante en eth5 desde eth3, no se tal vez mirando por ahi encuetres algo.
