Wladimir Torres Correa escribió:
Querida Lista:
Tengo un fw con entrada desde Internet y salida hacia una dmz y una red
local.En la dmz existía un servidor web que hace las veces de DNS.He
formateado el servidor previo respaldo de las zonas y del sitio web. He
vuelto a instalar ambos servicios en la máquina formateada y no puedo
hacer que se vean desde fuera mis archivos de zona, creo que por causa
de mi fw que extrañamente me funcionaba super bien antes del format.
Acá envío mis reglas iptables que tengo para abrir el puerto. He
comprobado con nmap localhost y lastimosamente me doy cuenta que el
puerto 53 no está abierto. Creo que me falta una regla de iptables, a
ver si alguien tira una ayudita nueva, gracias:
Politica por defecto:
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
TABLA FILTER:
$IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
TABLA NAT, prerouting
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport
53 -j DNAT --to-destination $DMZ_HTTP_IP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport
53 -j DNAT --to-destination $DMZ_HTTP_IP
TABLA NAT, postrouting
$IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j
SNAT --to-source $HTTP_IP
$IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j
SNAT --to-source $HTTP_IP
Muchas gracias, Wladimir
Tu regla PREROUTING te pre-enrutará los paquetes entrantes a tu FW
(interfaz publica) hacia tu DNS (direccion privada supongo).
Si es asi, has pensando como saldra la respuesta desde ese DNS interno
hacia Internet? Pienso que te falta:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Ademas, para que aplicas NAT hacia la DMZ? Si se trata de una tercera
interfaz para tu DMZ con ser preenrutada es suficiente (las tablas de
ruta + kernel haran el resto). Solo deberias usar SNAT en la interfaz
publica.
Por ultimo creo que es mala politica usar POSTROUTING sin -o iface,
podrias tener resultados inesperados.
Quizas podrias explicar mejor el esquema, te lei pero no entiendí.
Cuantas interfaces tienes?, que esta conectado a que?, que
direccionamiento asignaste a las redes y al host?
Te faltó pegar parte de tu script iptables?
No pruebes el DNS server con nmap, mejor usa
dig dominio @IP_DE_TU_BIND
Asi sabras si esta respondiendo como corresponde.
Saludos,
Miguel Oyarzo
Austro Internet S.A.
Punta Arenas
