LINUX.ORG.RU
ФорумAdmin

DNS и ipchains. Помогите советом


0

0

Дело такое. два интерфейса, один наружу, другой внутрь.C ipchains для внешнего мира закрыто всё что можно. Но 53 порт по моему разумению я открыл. Из внутренней сети доступ к внутреннему интерфейсу полный. DNS я тоже считаю настроен, потому что если все настройки ipchains отменить, и открыть всё.. то всё нормально. А проблема в том, что когда закрыто ipchains всё, долго отправляется почта, как из внутренней сети так и из внешней, ну и всё что связанно с проверкой по DNS. Что не так? Вот что я пишу , для того что бы 53 порт открыть... IP 1.1.1.1 адрес на внешнем интерфейсе.

DNS server ipchains -A input -i eth0 -p udp -s 0.0.0.0/0 1024:65535 -d 1.1.1.1 53 -j ACCEPT

ipchains -A output -i eth0 -p udp -s 1.1.1.1 53 -d 255.255.255.255/0 1024:65535 -j ACCEPT

# DNS client

ipchains -A input -i eth0 -p udp -s 0.0.0.0/0 53 -d 1.1.1.1 1024:65535 -j ACCEPT

ipchains -A output -i eth0 -p udp -s 1.1.1.1 1024:65535 -d 255.255.255.255/0 53 -j ACCEPT

ipchains -A input -i eth0 -p udp -s 212.20.0.126 53 -d 1.1.1.1 1024:65535 -j ACCEPT ipchains -A output -i eth0 -p udp -s 1.1.1.1 1024:65535 -d 212.20.0.126 53 -j ACCEPT ipchains -A input -i eth0 -p tcp ! -y -s 1.1.1.1 53 -d 80.66.64.170 -j ACCEPT

ipchains -A output -i eth0 -p tcp -s 1.1.1.1 1024:65535 -d 1.1.1.1 53 -j ACCEPT ipchains -A input -i eth0 -p tcp ! -y -s 212.20.0.126 53 -d 1.1.1.1 1024:65535 -j ACCEPT ipchains -A output -i eth0 -p tcp -s 1.1.1.1 1024:65535 -d 212.20.0.126 53 -j ACCEPT # Для трафика изнутри... # localnet to fw traf. ipchains -A input -i eth1 -s 192.168.1.0/24 -j ACCEPT ipchains -A output -i eth1 -d 192.168.1.0/24 -j ACCEPT Маскарада нет. Обзор по НТТР через SQUID. В named.conf есть query-source address * port 53. Но кстати не есть понятно, даёт это какой эффект или нет. Что с ним , что без него, один эффект.

anonymous

Re: DNS и ipchains. Помогите советом

Из месива выше я мало что понял, так что вот мои мысли. Ты не думал, что запросы от name-server'a могут исходить не с 53 порта, а так с какого-нибудь > 1024 ?
tcpdump -i eth0 dst port 53 это и показывает.
"C ipchains для внешнего мира закрыто всё что можно." - плохая идея, вероятнее всего из-за этого и неработает.

mator ★★★★★ ()

Re: DNS и ipchains. Помогите советом

Нет доступа к 53 порту по tcp-протоколу
Лучший способ понять, что не так - пустить Ipchains запретив все с ведением логов,
а потом смотреть в messages куда ведет DENY и постепенно открывать то что нужно

anonymous ()

Re: DNS и ipchains. Помогите советом

по UDP ответ приходит с того же порта куда и запрос - а ты его закрываешь (1024:65535 )

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.