2009/3/23 Juliano F. Ravasi <[email protected]>: ...
> Especialmente fazer pacotes UDP cruzarem um roteador doméstico, não se > sabe quais perversões o roteador irá fazer com os pobres pacotes. Eu sei disto. E estou sofrendo com ele. > > Problema 1: servidor inalcançável. Vamos olhar no domínio superior: > Este é o problema que impede o funcionamento, creio. > > Problema 2: Não há "cola" do domínio pai (info.tm) para o seu domínio. > Pior ainda, o NS aponta para um hostname em outro domínio. O correto > seria o afraid.org ter o endereço IP do seu NS (ex: ns1.barata.info.tm) > e fornecê-lo junto com a resposta autoritativa do NS. Eu criei um host no afraid, com o meu endereço válido. > Opa. Seu roteador é um Linksys hackeado com Linux? Um DD-WRT da vida? Infelizmente não consegui hackear o danado com dd-wrt ou openwrt. Com estes teria mais controle sobre o bichinho. É um Texas-AR7 (wrtp54g) . O suporte para ele no openwrt ainda não está pronto. Ele já roda linux nativamente, mas os fontes do firmware falta muita coisa. Não é totalmente código aberto. O máximo que consegui foi uma versão do firmware da linksys com ssh habilitado. > Bom, essas regras estão incompletas. Poste as regras originais > (argumentos passados para o iptables), ou a saída do iptables com -v. Eu > teria que ver quais interfaces as regras na tabela PREROUTING estão > sendo aplicadas (você pode estar dando um tiro no pé sem saber), e sem o > parâmetro -v o iptables não mostra essas colunas. Eu sugeriria não > fornecer porta alguma para o --to da regra DNAT, pois subentende-se que > a porta deverá ser reescrita, o que não é necessário no seu caso. > > Já as regras na tabela POSTROUTING estão completamente erradas. Não sei > o que você tentou fazer, mas não faz sentido. O que você deveria ter é > algo parecido com: Não fui eu quem fiz as regras. Elas foram geradas pela interface do roteador. Eu só consigo entrar um bloco de portas e o host que será direcionado. Ou posso digitar manualmente através do ssh. Não consigo sequer salvar um script personalizado para rodar na inicialização do roteador. Talvez eu não consiga fazer o que quero com ele. > iptables -t nat -A POSTROUTING -o ethX -s 192.168.0.0/24 \ > -j SNAT --to 189.X.X.X > > Onde ethX é sua interface de saída para a internet. Vou tentar isto. > Você está servindo zonas *diferentes* para os clientes de dentro e fora > da rede para o mesmo domínio? Alguma razão especial para isso? Só tenho esta zona mesmo. Eu criei os views pois não queria que os hosts registrados com IPs inválidos ficasse visíveis para o mundo. ex: meupc.barata.info.tm A 192.168.0.100 outro.barata.info.tm A 192.168.0.101 gw.barata.info.tm A 192.168.0.1 > Suspeito que seja alguma regra de firewall do roteador ou do servidor > DNS. Como você só postou a tabela "nat", e só um pedaço dela, fica > difícil dizer. No servidor não é pois não tem nenhuma regra no iptables ainda. Vou postar as regras completas do roteador, quando ele estiver acessível. Talvez fazer um roteador com um pc velho. Assim fica mais fácil controlar o fluxo. > > Se eu estiver correto, essa regra deve resolver: > > iptables -I FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED > > Mas é claro, seria melhor ver como está o seu firewall antes, para saber > se essa regra é sequer relevante, > >> tcpdump -i ethX -n proto UDP >> 11:41:52.783267 IP 201.X.X.X.1464 > 192.168.0.3.53: 45124+ A? >> barata.info.tm. (32) >> 11:41:52.785128 IP 192.168.0.3.53 > 201.X.X.X..1464: 45124*- 1/1/0 A >> 189.X.X.X (75) > > Esse dump foi tirado no servidor DNS ou no roteador? Por ele tudo indica > que é problema de firewall em um ponto mais adiante na rede. Se o > roteador não tiver conntrack pode ocorrer esse problema também. O dump é do servidor. Estou tentando compilar o tcpdump para o roteador, mas ainda não obtive resultados. > >> dig barata.info.tm @::1 > > Isso só mostra que a interface "lo" não está filtrada, o que não é nada > espantoso. > >> ;; AUTHORITY SECTION: >> barata.info.tm. 43200 IN NS meuhost.noip Sim. Só queria mostrar que a view ext estava funcionando corretamente. Usar o ipv6 fez o dns reponder usando a view ext. > Mas isso é ruim. Seu NS fornecido pelo domínio pai difere do NS > fornecido pelo seu servidor autoritativo. Tanto em TTL quanto, > aparentemente, nome também. Isso causa uma confusão imensa. Vou checar isto. > *HÁ* um problema com a view. Pelo menos você não deveria estar servindo > zonas diferentes para clientes internos e externos. É melhor ter uma zona virtual do tipo "dominio.local" interna? > De entrada, só as portas 53/tcp e 53/udp mesmo. De saída, todas. Já está assim. Deve mesmo ser problemas no roteadorzinho. Muito obrigado pelas dicas. -- Oséias Ferreira. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
