Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Serwer DNS na świat... PLS HLP!
http://forum.freesco.pl/viewtopic.php?f=24&t=7812		 Strona 1 z 2
Autor:  melin [ wtorek, 31 maja 2005, 18:43 ]
Tytuł:  Serwer DNS na świat... PLS HLP!
Szukałem ale chyba, źle bo nic nie znalazłem ;)

Sprawa wygląda tak, mam sobie domene mojawww.one.pl i na one.pl mam wpisany serwer DNS (mój serwer) i teraz sprawa ma sie tak ze jak w LAN wpisze adres mojawww.one.pl wszystko piknie dziala, ale jak ktos wpisze z zew. ten adres to nie moze wejsc. Czyli moim zdaniem serwer DNS na porcie 53 dziala tylko w LAN, a moje pytanie jest takie co ustawic, zeby serwer zadzialal tez na swiat :)

NND ze stycznia, firewall standardowy tzn taki co byl juz w pakiecie ;)
serwer DNS instalowany standardowo i podmienilem tylko pliki z poprzedniej konfigurcji, ktora zrobil Kilian. Wszystko cyka nawet jak sobie wpisze w ustawieniach polaczenia (w xpeku) 1 DNS (moj serwer) to strony zadziwiajaco szybko sie laduja ;) no ale odbiegam od tematu :)

Pozdrawiam i dzieki za helpa!
Melin
Autor:  provayder [ wtorek, 31 maja 2005, 23:03 ]
Tytuł:  Re: Serwer DNS na świat... PLS HLP!
melin pisze:
Szukałem ale chyba, źle bo nic nie znalazłem ;)


Sprawa wygląda tak, mam sobie domene mojawww.one.pl i na one.pl mam wpisany serwer DNS (mój serwer) i teraz sprawa ma sie tak ze jak w LAN wpisze adres mojawww.one.pl wszystko piknie dziala, ale jak ktos wpisze z zew. ten adres to nie moze wejsc. Czyli moim zdaniem serwer DNS na porcie 53 dziala tylko w LAN, a moje pytanie jest takie co ustawic, zeby serwer zadzialal tez na swiat :)

NND ze stycznia, firewall standardowy tzn taki co byl juz w pakiecie ;)
serwer DNS instalowany standardowo i podmienilem tylko pliki z poprzedniej konfigurcji, ktora zrobil Kilian. Wszystko cyka nawet jak sobie wpisze w ustawieniach polaczenia (w xpeku) 1 DNS (moj serwer) to strony zadziwiajaco szybko sie laduja ;) no ale odbiegam od tematu :)

Pozdrawiam i dzieki za helpa!
Melin


Dawno temu o tym pisałem - standardowy firewall nie bierze pod uwagę usługi DNS, czyli innymi słowy masz go na firewallu zablokowanego.
Trzeba dopisać w /etc/iptables/firewall np. takie regułki:

# dla zapytan do serwera DNS
$i -A INPUT -p udp -i $EXTIF --sport 53 --dst $EXTIP --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --sport 137 --dst $EXTIP --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --sport 1024:65535 --dst $EXTIP --dport 53-j ACCEPT
$i -A OUTPUT -p tcp --sport 53 -j ACCEPT
$i -A OUTPUT -p udp --sport 53 -j ACCEPT


pozdro
Autor:  melin [ środa, 1 czerwca 2005, 00:29 ]
Tytuł:  :)
khmm no wlasnie :) w trakcie dochodzenia zminilem sciane na czerwo'ną ;)

w sumie to nic nie pomoglo, nawet jak wypuscilem na swiat port 53 w configu od portow.


-----
wpisanie regulek nie pomoglo

chyba bedzie trzeba wywalic binda (chociaz po lan chodzi ok) i jeszcze raz zaladowac...
Autor:  melin [ środa, 1 czerwca 2005, 13:22 ]
Tytuł:  Prosba
Kurcze mam wielka prosba do kogos, ma ktos moze dzialajace przykladowe pliki z configiem. chociaz wydaje mi sie, ze mam wszystko ok...
Autor:  czerwo [ środa, 1 czerwca 2005, 18:52 ]
Tytuł: 
otworz 53 na tcp i udp moze pomoze ale widze ze on otwiera wiekszy zakres, chyba bedziesz musial dopisac sobie recznie
Autor:  provayder [ środa, 1 czerwca 2005, 19:03 ]
Tytuł:  Re: Prosba
melin pisze:
Kurcze mam wielka prosba do kogos, ma ktos moze dzialajace przykladowe pliki z configiem. chociaz wydaje mi sie, ze mam wszystko ok...

moje pliki: http://83.16.181.158/aaa/


A jakies błędy w logach się pojawiają????
IMHO coś przekombinowałeś ze strefą magiclan.one.pl. W jednym pliku masz wszystko - strefa interfejsu zewnętrznego, wewnętrznego i odwrotna. Sorty za krypto reklamę ale kuknij tu: http://www.mkgnet.one.pl/bind8_1.php. Co prawda opis dotyczy wersji BIND8 ale zasada tworzenia stref w BIND9 jest taka sama.



pozdro
Autor:  melin [ środa, 1 czerwca 2005, 19:25 ]
Tytuł:  ...
Cytuj:
otworz 53 na tcp i udp moze pomoze ale widze ze on otwiera wiekszy zakres, chyba bedziesz musial dopisac sobie recznie


No wiec jesli chodzi o porty to mam wpisane: 22,53,80

Czerwo masz jakies konkretne porty na mysli ??

Kurcze ale jaka bym domene nie wpisal to i tak po LAN smiga az milo...

Logi ?? hmm w loga mam pusto doslownie wiec chyba nie te logi patrze "named.log"

Ale sie nie poddam bede walczyl do konca ;P "chyba"

Hmm wiem co wywale wszystko i pojade ze wszystkim z godnie z tym opisem co podales...[/quote]
Autor:  czerwo [ środa, 1 czerwca 2005, 19:31 ]
Tytuł: 
ale czy otwarles go w udp czy tylko tcp moze to jest wina

albo dodaj do firewalla to co podal provayder czyli:
# dla zapytan do serwera DNS
$i -A INPUT -p udp -i $EXTIF --sport 53 --dst $EXTIP --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --sport 137 --dst $EXTIP --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --sport 1024:65535 --dst $EXTIP --dport 53-j ACCEPT
$i -A OUTPUT -p tcp --sport 53 -j ACCEPT
$i -A OUTPUT -p udp --sport 53 -j ACCEPT

moze pomoze a jak morze nie pomoze ... ;]
Autor:  melin [ czwartek, 2 czerwca 2005, 01:55 ]
Tytuł:  eeeeeeeeeeeeehhhhhhhhhhhhhhhh
pupa ze sie tak wyraze..........


chyba mam jakies specyficzne kable ze mi to nie chce dzialac ;(

No doslownie robilem to na wszystkie mozliwe sposoby ;(((((


buuuuuuuuuuuuu kto mi uzyczy master i slave ;D hihi bo wymiękam.

prawie 2 w nocy i w sumie jestem w punkcie wyjscia

bo jesli chodzi o ustawienia to prawie na pewno są poprawne

bo u siebie jak wpisze magiclan.one.pl strona ladnie smiga...

a tu jeszcze cosik co chyba dowodzi ze ustawienia serwera DNS są poprawne:

: [/] [] ()

  1    <1 ms    <1 ms    <1 ms  ziomal.magiclan.one.pl [10.1.1.1]

  3   912 ms  1012 ms  1144 ms  ols-ru1.idsl.tpnet.pl [213.25.2.152]
GeSHi © Codebox Plus


wpis z trace route...
Autor:  provayder [ czwartek, 2 czerwca 2005, 09:03 ]
Tytuł: 
Wszystkie znaki na niebie i ziemi pokazują, że masz zablokowanego DNS-a na świat. Popatrz tu: http://www.checkdns.net/quickcheck.aspx?domain=magiclan.one.pl&detailed=1

Idąc dalej tym tropem to dopisałeś regułki do firewalla, zrestartowałeś go i dalej nic. A czy masz wygenerowany plik iptables.rules???? Jeśli tak to go wykasuj i wtedy zrób restart firewalla.


pozdro
Autor:  melin [ czwartek, 2 czerwca 2005, 15:11 ]
Tytuł:  :((
Tat, tak dopisalem.

nawet probowalem cos takiego zmanewrowac, ze w rc.conf wpisze DNS=1 (oczywiscie odpowiedni wpis w firewallu byl) i powinno cykac i tez nie pomoglo.

no ten nieszczesny port 53 tez mam odtwarty.

Cytuj:
A czy masz wygenerowany plik iptables.rules???? Jeśli tak to go wykasuj i wtedy zrób restart firewalla.


A co rozumiuesz pod pojeciem wygenerowany? Bo sam plik mam i wszystko w nim jest ladnie wpisane...
Dobra chyba zrobie tak jak powiadasz, ale czy to mi nie wroci ustawienien firewalla standardowego??
Autor:  provayder [ czwartek, 2 czerwca 2005, 17:31 ]
Tytuł: 
Cytuj:
A co rozumiuesz pod pojeciem wygenerowany?

wygenerowany = komenda /etc/rc.d/ipatbles save

Jeśli go masz to przynajmniej w oryginalnym firewallu jest tak, że jeśli plik iptables.rules istnieje to regułki idą z niego a nie ze skryptu firewall. Tak więc dalsze zmiany w skrypcie firewall - dopisanie regułek, dodanie którejś z usług (www, ftp, ssh, etc.) nie mają wpływu na firewalla bo on ładuje się wg wcześniej wygenerowanego pliku iptables.rules. Jak to rozwiązał Czerwo w swoim firewallu to nie wiem.

Cytuj:
...ale czy to mi nie wroci ustawienien firewalla standardowego??


Firewall uruchomi się wg skryptu, więc jeśli robiłeś tam zmiany to na pewno nie wróci do standardowego. Jak się boisz to przenieś sobie ten plik gdzieś indziej i resetnij firewalla. Jeśli uznasz, że coś poszło nie tak to przenieś z powrotem plik i znów reset firewalla i wtedy wróci ci do tego co było. Ostatecznie można też dopisać pod konsolą te regułki iptables i sprawdzić czy port 53 jest otwarty na zewnątrz (np. przez http://www.checkdns.net).
Autor:  czerwo [ czwartek, 2 czerwca 2005, 17:36 ]
Tytuł: 
a jezeli masz moj nienajnowszy firewall to tez nic nie da jak dopsizesz bo odpala sie iptables.rules, no chyba ze masz moj najnowszy firewall
Autor:  melin [ czwartek, 2 czerwca 2005, 19:46 ]
Tytuł:  hmm
Cytuj:
no chyba ze masz moj najnowszy firewall


Mam Twoj chyba najnowszy z Twojego forum co tam byl opis...
Wiem, ze port prawie na 100% jest otwarty... Jeszcze pokombinuje pokoleji z tymi firewallami moze cos zaskoczy :? Pierwszy raz mam jakis taki problem co z nim tak dlugo walcze, hmm...

Zeby to jeszcze ktos kiedys mial taki problem to bym moze na forum znalazl rozwiazanie, a tu zonk. iptabels save oczywiscie tez bylo ;) ale zaraz zalukam do tego rulesa moze cos tak wynajde ciekawego.
Autor:  melin [ czwartek, 2 czerwca 2005, 20:02 ]
Tytuł:  ...
Ehhh trochę śmietni zrobie, ale nie mam juz pomysla.


plik firewall:
: [/] [] ()
#!/bin/sh
# firewall 0.1-2004.12.27 Zciech (poprawka w lini 113 i 49 - macieks)
#
# W podstawowej wersji caly ruch z inerfejsow wewnetrznych jest dopuszczony i maskowany
# ruch z internetu zabroniony poza pakietami "powracajacymi" juz nawiazanych polaczen
# i polaczen na strone www (port 80 tcp) oraz pingi 1/s

. /etc/rc.conf
. /etc/rc.d/functions

i=`which iptables`

# Zmienne pobierane z rc.conf
# EXTIF="ppp0" # Interfejs do inetu
# CONNECTION="neorj" # Rodzaj polaczenia
# NETWORK=1 # Wlaczenie maskarady
 
case $1 in

start)
      
    if [ -e /proc/sys/net/ipv4/tcp_ecn ];then
   echo 0 > /proc/sys/net/ipv4/tcp_ecn
    fi

    echo 1 > /proc/sys/net/ipv4/ip_forward

    if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
   echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    fi

    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
   echo  1 > $f
    done
      
    $i -F
    $i -F -t nat
                 
    $i -P INPUT DROP
    $i -P FORWARD DROP
    $i -P OUTPUT ACCEPT
           
    # interfejs lo
    $i -A INPUT -i lo -j ACCEPT
    $i -A FORWARD -o lo -j ACCEPT
           
    # Neostrada zmiana MTU
#    if [ $CONNECTION = "neorj" -o $CONNECTION = "neosagem" -o $CONNECTION = "neothomson" ];then
    if [ $CONNECTION = "neorj" ];then
   $i -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    fi
               
    # Blaster i Saser
    $i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP
    $i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP
            
    # Odrzucamy z komunikatem ICMP Port Unreachable polaczenia
    # na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC)
    # Jesli udostepniasz te uslugi zaplotkuj (#) odpowiedne linie
    $i -A INPUT -p tcp --dst 0/0 --dport 113  -j REJECT --reject-with icmp-port-unreachable
    $i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable
               
    # zaplotkuj jesli nie chcesz udostepniac serwisu  http do inetu
    if [ $WWW = 1 ]; then
   $i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT
    fi

    # zaplotkuj jesli nie chcesz udostepniac serwisu  https do inetu
    if [ $HTTPS = 1 ]; then
   $i -A INPUT -p tcp -i $EXTIF --dport 443 -j ACCEPT
    fi
   
    # dns
    #if [ $DNS = 1 ]; then
       $i -A INPUT -p udp -i $EXTIF sport 53 --dst $EXTIP --dport 53 -j ACCEPT
       $i -A INPUT -p udp -i $EXTIF sport 137 --dst $EXTIP --dport 53 -j ACCEPT
       $i -A INPUT -p udp -i $EXTIF sport 1024:65535 --dst $EXTIP --dport 53 -j ACCEPT
       $i -A OUTPUT -p tcp --sport 53 -j ACCEPT
       $i -A OUTPUT -p tcp --sport 53 -j ACCEPT
   $i -A INPUT -p tcp -i $EXTIF --dport 53 -j ACCEPT
        $i -A INPUT -p udp -i $EXTIF --dport 53 -j ACCEPT
    #fi
         
   
    # zaplotkuj jesli nie chcesz udostepniac serwisu  ftp do inetu
    if [ $FTP = 1 ]; then
   $i -A INPUT -p tcp -i $EXTIF --dport 20 -j ACCEPT
   $i -A INPUT -p tcp -i $EXTIF --dport 21 -j ACCEPT
    fi
   
    # zaplotkuj jesli nie chcesz udostepniac poczty do inetu
    if [ $MAIL = 1 ]; then
   $i -A INPUT -p tcp -i $EXTIF --dport 110 -j ACCEPT
   $i -A INPUT -p tcp -i $EXTIF --dport 25 -j ACCEPT
    fi
   
        # zaplotkuj jesli nie chcesz udostepniac SSH do inetu
    if [ $SSH = 1 ]; then
   $i -A INPUT -p tcp -i $EXTIF --dport 22 -j ACCEPT
    fi

    # zaplotkuj jesli nie chcesz udostepniac serwera IMAP do inetu
    if [ $IMAP = 1 ]; then
   $i -A INPUT -p tcp -i $EXTIF --dport 143 -j ACCEPT
   $i -A INPUT -p udp -i $EXTIF --dport 143 -j ACCEPT
    fi
   
        # zaplotkuj jesli nie chcesz udostepniac serwera IMAPS do inetu
    if [ $IMAPS = 1 ]; then
   $i -A INPUT -p tcp -i $EXTIF --dport 993 -j ACCEPT
   $i -A INPUT -p udp -i $EXTIF --dport 993 -j ACCEPT
    fi
   
    # pingi pozwalamy
    $i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec
         
    # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy
    $i -A INPUT -i ! $EXTIF  -j ACCEPT
    $i -A FORWARD -i ! $EXTIF -j ACCEPT
    # i maskujemy
    if [ $NETWORK = 1 ]; then
   $i -t nat -A POSTROUTING  -o $EXTIF -j MASQUERADE
    fi
                    
    # Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych polaczen
    $i -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
    $i -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
    wynik
    ;;
stop)
    $i -F INPUT
    $i -F FORWARD
    $i -F OUTPUT
   
    $i -P INPUT DROP
    $i -P FORWARD DROP
    $i -P OUTPUT DROP
    echo 0 > /proc/sys/net/ipv4/ip_forward
    wynik
    ;;
esac
GeSHi © Codebox Plus


plik iptables.rules

: [/] [] ()
# Generated by iptables-save v1.2.11 on Wed Jun  1 03:09:11 2005
*filter
:INPUT DROP [78:3715]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [493:102907]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 135,445 -j DROP
-A INPUT -i eth0 -p tcp -m multiport --dports 80,22,53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -s 10.1.1.2 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.3 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.4 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.5 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.6 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.7 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.8 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.9 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.10 -i ! eth0 -j ACCEPT
-A INPUT -s 10.1.1.11 -i ! eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.1.1.2 -p udp -m udp --dport 4672 -j ACCEPT
-A FORWARD -d 10.1.1.2 -p tcp -m tcp --dport 4662 -j ACCEPT
-A FORWARD -s 5.5.5.5 -p tcp -m time --timestart 08:00 --timestop 20:00 -m tcp --dport 8074 -j DROP
-A FORWARD -s 5.5.5.5 -p tcp -m time --timestart 08:00 --timestop 20:00 -m tcp --dport 443 -j DROP
-A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 8074 -j DROP
-A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 443 -j DROP
-A FORWARD -s 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m tcp --dport 8074 -j DROP
-A FORWARD -s 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m tcp --dport 443 -j DROP
-A FORWARD -o lo -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 135,445 -j DROP
-A FORWARD -s 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m ipp2p --ipp2p -j DROP
-A FORWARD -s 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m ipp2p --ipp2p-data -j DROP
-A FORWARD -s 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m ipp2p --bit --apple --soul -j DROP
-A FORWARD -d 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m ipp2p --ipp2p -j DROP
-A FORWARD -d 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m ipp2p --ipp2p-data -j DROP
-A FORWARD -d 10.10.10.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -m ipp2p --bit --apple --soul -j DROP
-A FORWARD -s 192.168.0.1 -p tcp -m ipp2p --ipp2p -j DROP
-A FORWARD -d 192.168.0.1 -p tcp -m ipp2p --ipp2p -j DROP
-A FORWARD -s 192.168.0.1 -p tcp -m ipp2p --ipp2p-data -j DROP
-A FORWARD -d 192.168.0.1 -p tcp -m ipp2p --ipp2p-data -j DROP
-A FORWARD -s 192.168.0.1 -p tcp -m ipp2p --ipp2p --bit --apple --soul -j DROP
-A FORWARD -d 192.168.0.1 -p tcp -m ipp2p --ipp2p --bit --apple --soul -j DROP
-A FORWARD -s 10.1.1.2 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.3 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.4 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.5 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.6 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.7 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.8 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.9 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.10 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.1.1.11 -i ! eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Jun  1 03:09:11 2005
# Generated by iptables-save v1.2.11 on Wed Jun  1 03:09:11 2005
*mangle
:PREROUTING ACCEPT [17302:5311060]
:INPUT ACCEPT [737:51310]
:FORWARD ACCEPT [16565:5259750]
:OUTPUT ACCEPT [494:103063]
:POSTROUTING ACCEPT [17059:5362813]
COMMIT
# Completed on Wed Jun  1 03:09:11 2005
# Generated by iptables-save v1.2.11 on Wed Jun  1 03:09:11 2005
*nat
:PREROUTING ACCEPT [825:45576]
:POSTROUTING ACCEPT [4:310]
:OUTPUT ACCEPT [4:310]
-A PREROUTING -s 5.5.5.5 -d 217.17.46.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.1.1:80
-A PREROUTING -s 10.10.10.3 -d ! 10.1.1.1 -p tcp -m time --timestart 10:00 --timestop 15:00 -j REDIRECT --to-ports 98
-A PREROUTING -s 192.168.0.1 -d ! 10.1.1.1 -p tcp -j REDIRECT --to-ports 56
-A PREROUTING -i eth0 -p tcp -m tcp --dport 4662 -j DNAT --to-destination 10.1.1.2
-A PREROUTING -i eth0 -p udp -m udp --dport 4672 -j DNAT --to-destination 10.1.1.2
-A POSTROUTING -s 10.1.1.2 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.3 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.4 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.5 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.6 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.7 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.8 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.9 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.10 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.1.1.11 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Jun  1 03:09:11 2005
GeSHi © Codebox Plus


Hehe jako, ze sie znacie na czarnej magi to moze wylukacie jakiegos byka.
Autor:  melin [ czwartek, 2 czerwca 2005, 20:54 ]
Tytuł:  :)
sorry, że tak śmiece ale coś mi się przypomniało, oto skany z nmap'a:

: [/] [] ()
[root@ziomal root]# nmap -sU 10.1.1.1

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-06-02 20:57 CEST
Interesting ports on ziomal (10.1.1.1):
(The 1474 ports scanned but not shown below are in state: closed)
PORT    STATE         SERVICE
53/udp  open|filtered domain
67/udp  open|filtered dhcpserver
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm

Nmap run completed -- 1 IP address (1 host up) scanned in 5.015 seconds
[root@ziomal root]# nmap -sT 10.1.1.1

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-06-02 20:57 CEST
Interesting ports on ziomal (10.1.1.1):
(The 1656 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
3306/tcp open  mysql
GeSHi © Codebox Plus


ale:
: [/] [] ()
root@serwer:/etc/rc.d$resolveip magiclan.one.pl
resolveip: Unable to find hostid for 'magiclan.one.pl': no_data

root@serwer:/etc/rc.d$ping magiclan.one.pl
ping: unknown host magiclan.one.pl
GeSHi © Codebox Plus


Sprawdz ustawienia dns na one.pl
Autor:  zciech [ czwartek, 2 czerwca 2005, 22:57 ]
Tytuł: 
To nie firewall
: [/] [] ()
root@serwer:/etc/rc.d$nmap x.x.x.x -p 53 -sU

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on x.internetdsl.tpnet.pl (x.x.x.x):
Port       State       Service
53/udp     open        domain

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
Press any key to continue...
root@serwer:/etc/rc.d$nmap x.x.x.x -p 53

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on x.internetdsl.tpnet.pl (x.x.x.x):
Port       State       Service
53/tcp     open        domain
GeSHi © Codebox Plus

x.x.x.x - Twój adres znany redakcji.
Autor:  provayder [ czwartek, 2 czerwca 2005, 23:11 ]
Tytuł: 
1. Skanowanie nmap-em z wewnątrz sieci nie ma najmniejszego sensu, zawsze będzie OK.

2. Coś mi tu nie pasuje:
Cytuj:
# dns
#if [ $DNS = 1 ]; then
$i -A INPUT -p udp -i $EXTIF sport 53 --dst $EXTIP --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF sport 137 --dst $EXTIP --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF sport 1024:65535 --dst $EXTIP --dport 53 -j ACCEPT
$i -A OUTPUT -p tcp --sport 53 -j ACCEPT
$i -A OUTPUT -p tcp --sport 53 -j ACCEPT
$i -A INPUT -p tcp -i $EXTIF --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --dport 53 -j ACCEPT
#fi

Niby regułki dopisałeś ale czemu zostały hash'e przy instrukcji if???? I po co powielane są regułki otwierania portu 53??? U mnie dokładnie wygląda to tak:
: [/] [] ()
# zaplotkuj jesli nie chcesz udostepniac serwera DNS do inetu
    if [ $DNS = 1 ]; then
        # dla zapytan do serwera DNS
        $i -A INPUT -p udp -i $EXTIF --sport 53 --dst $EXTIP --dport 53 -j ACCEPT
        $i -A INPUT -p udp -i $EXTIF --sport 137 --dst $EXTIP --dport 53 -j ACCEPT
        $i -A INPUT -p udp -i $EXTIF --sport 1024:65535 --dst $EXTIP --dport 53-j ACCEPT
        $i -A OUTPUT -p tcp --sport 53 -j ACCEPT
        $i -A OUTPUT -p udp --sport 53 -j ACCEPT
        # dla transferu stref
        $i -A INPUT -p tcp -i $EXTIF --src $SECDNSIP1 --sport 53 --dst $EXTIP --dport 53 -j ACCEPT
        $i -A INPUT -p tcp -i $EXTIF --src $SECDNSIP1 --sport 1024:65535 --dst $EXTIP --dport 53 -j ACCEPT
        $i -A INPUT -p tcp -i $EXTIF --src $SECDNSIP2 --sport 53 --dst $EXTIP --dport 53 -j ACCEPT
        $i -A INPUT -p tcp -i $EXTIF --src $SECDNSIP2 --sport 1024:65535 --dst $EXTIP --dport 53 -j ACCEPT
    fi
GeSHi © Codebox Plus

przy czym $SECDNSIP1 i $SECDNSIP2 to adresy IP serwerów, dla których trzymam zapasowy serwer DNS.

3. W iptables.rules nie ma nic z tego co dopisałeś w skrypcie firewall-a. Jest otwarty port 53 ale w tcp a DNS głównie korzysta z udp. Ponawiam moją radę - wywal iptables.rules i komenda /etc/rc.d/iptables restart. Potem możesz wygenerować iptables.rules jak już wszystko będzie chodzić jak należy. I powinneś wtedy mieć coś takiego:

: [/] [] ()
-A INPUT -d x.x.x.x -i eth0 -p udp -m udp --sport 53 --dport 53 -j ACCEPT
-A INPUT -d x.x.x.x -i eth0 -p udp -m udp --sport 137 --dport 53 -j ACCEPT
-A INPUT -d x.x.x.x -i eth0 -p udp -m udp --sport 1024:65535 --dport 53 -jACCEPT
...
-A OUTPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT
GeSHi © Codebox Plus

x.x.x.x - tu powinien być twój adres IP
Autor:  zciech [ czwartek, 2 czerwca 2005, 23:22 ]
Tytuł: 
jeszcze jedno:
: [/] [] ()
root@elohi:~# ping magiclan.one.pl
ping: unknown host magiclan.one.pl
root@elohi:~# resolveip magiclan.one.pl
resolveip: Unable to find hostid for 'magiclan.one.pl': try again
GeSHi © Codebox Plus
Autor:  provayder [ czwartek, 2 czerwca 2005, 23:26 ]
Tytuł: 
zciech pisze:
jeszcze jedno:
: [/] [] ()
root@elohi:~# ping magiclan.one.pl
ping: unknown host magiclan.one.pl
root@elohi:~# resolveip magiclan.one.pl
resolveip: Unable to find hostid for 'magiclan.one.pl': try again
GeSHi © Codebox Plus


Innymi słowy twój serwer DNS jest martwy.
Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/