Principal » Foro » Redes » Proxy / Firewall / NAT / IPSec / Etc.

problema dns con iptables

Publicado: 4 Octubre, 2008 - 22:03 problema dns con iptables

bueno gente tengo un problema bastante singular segun mi humilde punto de vista la cuestion es que no me resuelve los dns en el fw mismo alguien me podria explicar por que motivo sucede esto?
eht0 esta la LAN 192.168.0.0
eth1 esta el router adsl 10.0.0.0
capturando tramas con wireshark todas las cosultas dns salen de 10.0.0.3 que es mi servidor dhcp, firewall entre otros con puerto destino 53 protocolo udp y las respuestas de los distintos servidores dns todas dirigidas a 10.0.0.3 source port 53

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A OUTPUT -s 10.0.0.3 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -d 10.0.0.3 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 80 -j ACCEPT
iptables -A INPUT -s 192.168.0.2 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.2 -p tcp --sport 22 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE && echo "regla 1 OK"

solo se que no se nada...
Publicado: 18 Octubre, 2008 - 12:50 Re: problema dns con iptables #1

El origen y destino es el mismo servidor, verdad ?
No veo ninguna regla que permita el tráfico localhost. Te dejo el script que yo utilizo:
http://www.cdbarra.com/seguridad/asegurando-servidor-web-i-iptables.html

Saludos.

http://www.cdbarra.com/: Experiencias de un sysdebian.
Publicado: 18 Octubre, 2008 - 13:42 Re: problema dns con iptables #2

Esa regla:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Para que es?

EDITO: Haber si me aclaro, si estas utilizando IP fija no tiene sentido enmascarar.

Tampoco necesitas colocar la regla explicita que acepte la respuesta DNS, solo debes aceptar establecidas y del resto se encarga el conntrack.

Ademas
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 80 -j ACCEPT

Esa regla está de mas, dejala como
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT
Esa es horrible, debes hacer dos reglas:
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT

Creer que algo es imposible es el primer paso para que lo sea ---- «Sí, ¡haga lo que le digo!» - y desde entonces mi debian ya no es lo que era

Relacionado con problema dns con iptables