El vie, 02-01-2009 a las 16:18 +0100, Miguel Oyarzo O. escribió: > Wladimir Torres Correa escribió: > > Querida Lista: > > Tengo un fw con entrada desde Internet y salida hacia una dmz y una red > > local.En la dmz existía un servidor web que hace las veces de DNS.He > > formateado el servidor previo respaldo de las zonas y del sitio web. He > > vuelto a instalar ambos servicios en la máquina formateada y no puedo > > hacer que se vean desde fuera mis archivos de zona, creo que por causa > > de mi fw que extrañamente me funcionaba super bien antes del format. > > Acá envío mis reglas iptables que tengo para abrir el puerto. He > > comprobado con nmap localhost y lastimosamente me doy cuenta que el > > puerto 53 no está abierto. Creo que me falta una regla de iptables, a > > ver si alguien tira una ayudita nueva, gracias: > > > > Politica por defecto: > > $IPTABLES -P INPUT DROP > > $IPTABLES -P FORWARD DROP > > $IPTABLES -P OUTPUT ACCEPT > > > > TABLA FILTER: > > $IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT > > $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT > > > > TABLA NAT, prerouting > > $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport > > 53 -j DNAT --to-destination $DMZ_HTTP_IP > > $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport > > 53 -j DNAT --to-destination $DMZ_HTTP_IP > > > > TABLA NAT, postrouting > > $IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j > > SNAT --to-source $HTTP_IP > > $IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j > > SNAT --to-source $HTTP_IP > > > > Muchas gracias, Wladimir > > > Tu regla PREROUTING te pre-enrutará los paquetes entrantes a tu FW > (interfaz publica) hacia tu DNS (direccion privada supongo). > > Si es asi, has pensando como saldra la respuesta desde ese DNS interno > hacia Internet? Pienso que te falta: > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Tengo esa regla
> Ademas, para que aplicas NAT hacia la DMZ? Si se trata de una tercera > interfaz para tu DMZ con ser preenrutada es suficiente (las tablas de > ruta + kernel haran el resto). Solo deberias usar SNAT en la interfaz > publica. > > Por ultimo creo que es mala politica usar POSTROUTING sin -o iface, > podrias tener resultados inesperados. > > Quizas podrias explicar mejor el esquema, te lei pero no entiendí. > Cuantas interfaces tienes?, que esta conectado a que?, que > direccionamiento asignaste a las redes y al host? > Te faltó pegar parte de tu script iptables? > > No pruebes el DNS server con nmap, mejor usa > > dig dominio @IP_DE_TU_BIND > Asi sabras si esta respondiendo como corresponde. Efectivamente 3 tarjetas: Internet ------> FW -------> lan -------> dmz Hago Nat hacia la Lan y hacia la DMz. En la DMZ está el servidor DNS y el servidor web en una misma máquina. mmmmm ¿alguna recomendación en cuanto a sacar el DNS hacia el firewall?