DMZ con DNS

Wladimir Torres Correa wladimir en mpudahuel.cl
Vie Ene 2 16:48:26 CLST 2009



El vie, 02-01-2009 a las 16:18 +0100, Miguel Oyarzo O. escribió:
> Wladimir Torres Correa escribió:
> > Querida Lista:
> > Tengo un fw con entrada desde Internet y salida hacia una dmz y una red
> > local.En la dmz existía un servidor web que hace las veces de DNS.He
> > formateado el servidor previo respaldo de las zonas y del sitio web. He
> > vuelto a instalar ambos servicios en la máquina formateada y no puedo
> > hacer que se vean desde fuera mis archivos de zona, creo que por causa
> > de mi fw que extrañamente me funcionaba super bien antes del format.
> > Acá envío mis reglas iptables que tengo para abrir el puerto. He
> > comprobado con nmap localhost y lastimosamente me doy cuenta que el
> > puerto 53 no está abierto. Creo que me falta una regla de iptables, a
> > ver si alguien tira una ayudita nueva, gracias:
> > 
> > Politica por defecto:
> > $IPTABLES -P INPUT DROP
> > $IPTABLES -P FORWARD DROP
> > $IPTABLES -P OUTPUT ACCEPT
> > 
> > TABLA FILTER:
> > $IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT
> > $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
> > 
> > TABLA NAT, prerouting
> > $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport
> > 53 -j DNAT --to-destination $DMZ_HTTP_IP
> > $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport
> > 53 -j DNAT --to-destination $DMZ_HTTP_IP
> > 
> > TABLA NAT, postrouting
> > $IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j
> > SNAT --to-source $HTTP_IP
> > $IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j
> > SNAT --to-source $HTTP_IP
> > 
> > Muchas gracias, Wladimir 
> 
> 
> Tu regla PREROUTING  te pre-enrutará los paquetes entrantes a tu FW 
> (interfaz publica) hacia tu DNS (direccion privada supongo).
> 
> Si es asi, has pensando como saldra la respuesta desde ese DNS interno 
> hacia Internet? Pienso que te falta:
> iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Tengo esa regla 

> Ademas, para que aplicas NAT hacia la DMZ? Si se trata de una tercera 
> interfaz para tu DMZ  con ser preenrutada es suficiente (las tablas de 
> ruta + kernel haran el resto). Solo deberias usar  SNAT en la interfaz 
> publica.
> 
> Por ultimo creo que es mala politica usar POSTROUTING  sin -o iface,
> podrias tener resultados inesperados.
> 
> Quizas podrias explicar mejor el esquema,  te lei pero no entiendí.
> Cuantas interfaces tienes?, que esta conectado a que?, que 
> direccionamiento asignaste a las redes y al host?
> Te faltó pegar parte de tu script iptables?
> 
> No pruebes el DNS server con nmap, mejor usa
> 
> dig dominio @IP_DE_TU_BIND
> Asi sabras si esta respondiendo como corresponde.
Efectivamente 3 tarjetas:

Internet ------> FW -------> lan
		    -------> dmz

Hago Nat hacia la Lan y hacia la DMz. En la DMZ está el servidor DNS y
el servidor web en una misma máquina. mmmmm ¿alguna recomendación en
cuanto a sacar el DNS hacia el firewall? 
	




Más información sobre la lista de distribución Linux