DMZ con DNS

Miguel Oyarzo O. admin en aim.cl
Vie Ene 2 12:18:52 CLST 2009 

Wladimir Torres Correa escribió:
> Querida Lista:
> Tengo un fw con entrada desde Internet y salida hacia una dmz y una red
> local.En la dmz existía un servidor web que hace las veces de DNS.He
> formateado el servidor previo respaldo de las zonas y del sitio web. He
> vuelto a instalar ambos servicios en la máquina formateada y no puedo
> hacer que se vean desde fuera mis archivos de zona, creo que por causa
> de mi fw que extrañamente me funcionaba super bien antes del format.
> Acá envío mis reglas iptables que tengo para abrir el puerto. He
> comprobado con nmap localhost y lastimosamente me doy cuenta que el
> puerto 53 no está abierto. Creo que me falta una regla de iptables, a
> ver si alguien tira una ayudita nueva, gracias:
> 
> Politica por defecto:
> $IPTABLES -P INPUT DROP
> $IPTABLES -P FORWARD DROP
> $IPTABLES -P OUTPUT ACCEPT
> 
> TABLA FILTER:
> $IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT
> $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
> 
> TABLA NAT, prerouting
> $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport
> 53 -j DNAT --to-destination $DMZ_HTTP_IP
> $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport
> 53 -j DNAT --to-destination $DMZ_HTTP_IP
> 
> TABLA NAT, postrouting
> $IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j
> SNAT --to-source $HTTP_IP
> $IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j
> SNAT --to-source $HTTP_IP
> 
> Muchas gracias, Wladimir 


Tu regla PREROUTING  te pre-enrutará los paquetes entrantes a tu FW 
(interfaz publica) hacia tu DNS (direccion privada supongo).

Si es asi, has pensando como saldra la respuesta desde ese DNS interno 
hacia Internet? Pienso que te falta:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Ademas, para que aplicas NAT hacia la DMZ? Si se trata de una tercera 
interfaz para tu DMZ  con ser preenrutada es suficiente (las tablas de 
ruta + kernel haran el resto). Solo deberias usar  SNAT en la interfaz 
publica.

Por ultimo creo que es mala politica usar POSTROUTING  sin -o iface,
podrias tener resultados inesperados.

Quizas podrias explicar mejor el esquema,  te lei pero no entiendí.
Cuantas interfaces tienes?, que esta conectado a que?, que 
direccionamiento asignaste a las redes y al host?
Te faltó pegar parte de tu script iptables?

No pruebes el DNS server con nmap, mejor usa

dig dominio @IP_DE_TU_BIND
Asi sabras si esta respondiendo como corresponde.


Saludos,

Miguel Oyarzo
Austro Internet S.A.
Punta Arenas

Más información sobre la lista de distribución Linux