LINUX.ORG.RU

не работает dns в локалке за файрволом =(


0

0

в одной локалке данная конфигурация работает, но в другой нет, почему 
- не пойму. С сервера я пингую по dns-имени любой сайт. У меня за 
файрволом стоят две машины 10.0.0.2 и 10.0.0.3, (для них dns 10.0.0.1,
  gateway 10.0.0.1 и netmask'a 255.255.255.0 соответственно). Эти 
машины ведут себя зело странно, первая (10.0.0.2) не ходит по dns, но 
прекрасно ходит по ip адресу в сеть (пингует и все такое прочее). 
Вторая (10.0.0.3) не ходит ни по dns ни по ip, хотя прекрасно пингует 
свой шлюз и рядомстоящие машины. В качестве хаба использую порты rj45 
на wireless адаптере DL-254 (ну нету другого хаба)

конфиг машины, где стоят айпитаблы (айпишники кривые)

[root@winda ~]# nslookup www.ru
Server:         193.232.122.33
Address:        193.232.122.33#53

Non-authoritative answer:
Name:   www.ru
Address: 194.87.0.50
[root@winda ~]# ifconfig

eth0      Link encap:Ethernet  HWaddr 00:80:48:FB:F8:57
          inet addr:212.152.6.166  Bcast:212.152.6.179  Mask:255.255.255.240
          inet6 addr: fe80::280:48ff:fefb:f857/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1003 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:308478 (301.2 KiB)  TX bytes:130342 (127.2 KiB)
          Interrupt:161 Base address:0x6800

eth1      Link encap:Ethernet  HWaddr 00:C0:0D:00:2A:FB
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2c0:dff:fe00:2afb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1273 errors:0 dropped:0 overruns:0 frame:0
          TX packets:482 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:138858 (135.6 KiB)  TX bytes:78617 (76.7 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:12 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:896 (896.0 b)  TX bytes:896 (896.0 b)

[root@winda ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
212.152.6.160  0.0.0.0         255.255.255.240 U     0      0        0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         212.152.6.161  0.0.0.0         UG    0      0        0 eth0
[root@winda ~]#
[root@winda ~]# service named status
number of zones: 6
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/1000
tcp clients: 0/100
server is up and running
[root@winda ~]#
[root@winda ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=212.152.6.166
NETMASK=255.255.255.240
GATEWAY=212.152.6.161
[root@winda ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.0.0.1
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
[root@winda ~]#
[root@winda ~]# cat /etc/hosts
127.0.0.1  localhost.localdomain localhost
212.152.6.166 winda.mikrosucks.ru winda
10.0.0.2  winda1
10.0.0.3  winda2
[root@winda ~]#
[root@winda ~]# cat /etc/sysconfig/network
NETWORKING=yes
GATEWAY=212.152.6.161
GATEWAYDEV=eth0
DNS1=212.152.2.66
HOSTNAME=localhost.localdomain
FORWARD_IPV4=yes
[root@winda ~]#


чего я делаю неправильно??

Re: не работает dns в локалке за файрволом =(

это конфиг айпитаблов:

#!/bin/sh

INET_IP="212.152.6.166"
INET_IFACE="eth0"
INET_BROADCAST="212.152.6.175"
LAN_IP="10.0.0.1"
LAN_IP_RANGE="10.0.0.0/24"
LAN_IFACE="eth1"
LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_string
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8080 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8081 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

причем такое ощущение, что дело не в правилах айпитабловых, а в настройке сети на компе. Мож там еще чето надо куда-то вставить?

или может надо named пересобрать?

p.s. у машины, на которой файрвол стоит нет dns имени, но этож не значит, что по этой причине named не должно работать.

vilfred ☆☆ ()

Re: не работает dns в локалке за файрволом =(

кстати, по какойто фиг знает какой причине при загрузке дефолтный маршрут никакой + отсутствует lo(хотя ifcfg-lo в системе присутствует), потому лечу это через четыре строчки в /etc/rc.d/rc.local

route del -net 0.0.0.0
route del -net 169.254.0.0/16
route add -net 127.0.0.0 netmask 255.0.0.0 lo
route add default gw 212.152.6.161 dev eth0

на вторую строчку можно не обращать внимания, это в новых ядрах какаято хрень специально для беспроводных устройств и т.п.

vilfred ☆☆ ()

Re: не работает dns в локалке за файрволом =(

зюзероутер?

berrywizard ★★★★★ ()
Ответ на: Re: не работает dns в локалке за файрволом =( от berrywizard

Re: не работает dns в локалке за файрволом =(

кажется я понял

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>nslookup www.ru
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 10.0.0.1: Timed out
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 212.152.6.166: Timed out
*** Default servers are not available
Server:  UnKnown
Address:  10.0.0.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

C:\Documents and Settings\Administrator>

и действительно, на 212.152.6.166 у меня имени нет, не выделил 
провайдер. И как тут тогда быть? Как тогда строить сеть без DNS имени?

p.s. а в винде оказывается nslookup есть!

vilfred ☆☆ ()

Re: не работает dns в локалке за файрволом =(

Заработала!!!! Надо оказывается в случаях, когда роутер не имеет собственного dns имени прописывать в настройки виндовых DNS службу имен роутера, т.е. провайдера! А я айпи провайдера вторичным DNS прописал в списке из двух(это где в винде надо устанавливать настройки сети), а винда оказывается не умеет заюзывать вторичный DNS, бугага.

vilfred ☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.