Iptables, squid and DNS

Pусский (Russian) Общий
8

Gankov,

Прошу прощения, не заметил, что вместе с правилами НАТ скопировал порт-маппинг. Мне это правило понадобиться в будущем, т.к. оно дает возможность привязать какой-либо севриз внутри сети к внешнему Ip. В моем случае это будет корпоративный портал. Так что вы тут не правы, что это правило не сработает, оно как раз-таки сработает, это тоже самое, если вы на обычном маршутизаторе сделаете привязку портов :slight_smile:

Насчет политики по умолчанию, вы тоже не правы. Т.е. проще задать сначало все запретить, а потом уже разрешать то, что нужно. Такой же принцип как в Squid, или в любом другом фаейрволе. Хотя конечно, можно все открыть, а потом закрывать все порты :slight_smile: Хотя вы правы насчет того, что порядок правил имеют значение, т.к. сработает первое подходящее по условию.

Я прекрасно понял все ваши советы. И я знаю, что у меня сейчас проблема именно с ДНС доступом. Т.е. как уже говорил, если не запускать все правила скрипка, а просто запустить НАТ, т.е. форвардинг с внутренного интерфейса к внешнему и маскарадинг адресов, то ДНС работает замечательно. Другими словами он обслуживает запросы локальной сети и запросы самого сервера.

Но как только я запускаю весь скрипт, который я привел ранее, то мой ДНС молчит, причем молчит как на самом сервере, так и с локальки. При этом если я прописыаю в сетевых интерфейсах локальных машин ДНС провайдера, то nslookup проходит, и как следствие идет разрешение имен и работает браузер.

В связи с этим я и прошу помощи разобраться, что не так с правилами iptables в отношении ДНС.

$IPTABLES -A INPUT -p udp -s $LAN --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d $LAN --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -s $WAN --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d $WAN --sport 53 -j ACCEPT.

При этом хочу заметить, что они прекрасно работали на Suse 10.3.

Ваши предложения я учел, просто насколько я знаю запросы ДНС не проходят через прокси, через него в основном идет трафик по 80 порту, т.е. весь Интернет, там даже было проблематично считать ftp трафик.

В одном вы совершенно правы никто за меня не создаст мои правила, но есть типичные правила для опреденных служб, в частности для ДНС. Поэтому я прошу у кого они работают на Suse 11.3 помочь мне разобраться и указать на мои ошибки в правилах.

Заранее спасибо.