|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Serg Volosevich 2:5020/400 03 Apr 2004 18:38:08
To : All
Subject : траблы с iptables
--------------------------------------------------------------------------------
Есть комп с двумя интерфесами.
eth0 смотрит в замаскарадженый сегмент и имеет IP 192.168.0.1
eth1 смотрит в сеть и имеет IP 10.108.3.19
Hа этой тачке поднят FTP, SSH и идет перенаправление с 1023 порта на
другую тачку в замаскарадженом сегменте. Соответственно открыты 21, 22,
1023 порты.
А теперь собственно проблема: на этой машине не работает DNS
преобразование. То есть если обращаться в сеть по доменному имени то
ничего не происходит, если по айпишнику - то все прекрасно. Хотя
nameserver в resolve.conf прописан. И с этим же nameserver на
замаскарадженых машинах все работает прекрасно.
Что я собствеено и где продуплил? Все вот изучаю man iptables но
просветления пока нет.
Если сделать INPUT -P ACCEPT то все начинает работать. Hо не хотелось
бы открывать лишние порты.
Вот мой iptables
# Generated by iptables-save v1.2.7a on Sat Apr 3 17:16:58 2004
*nat
:PREROUTING ACCEPT [34819:2145387]
:POSTROUTING ACCEPT [41:5969]
:OUTPUT ACCEPT [457:34387]
-A PREROUTING -d 10.108.3.19 -p tcp -m tcp --dport 1023 -j DNAT
--to-destination 192.168.0.2
-A POSTROUTING -o eth1 -j SNAT --to-source 10.108.3.19
COMMIT
# Completed on Sat Apr 3 17:16:58 2004
# Generated by iptables-save v1.2.7a on Sat Apr 3 17:16:58 2004
*filter
:INPUT DROP [1:229]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [315:16998]
:okay - [0:0]
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.0.1 -i lo -j ACCEPT
-A INPUT -s 10.108.3.19 -i lo -j ACCEPT
-A INPUT -d 10.108.3.19 -p tcp -m state --state RELATED,ESTABLISHED -j
ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j okay
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j okay
-A INPUT -i eth1 -p tcp -m tcp --dport 1023 -j okay
-A INPUT -i eth1 -p udp -m udp --dport 21 -j okay
-A INPUT -i eth1 -p udp -m udp --dport 22 -j okay
-A INPUT -i eth1 -p udp -m udp --dport 1023 -j okay
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A okay -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A okay -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A okay -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A okay -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A okay -p tcp -j DROP
-A okay -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A okay -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A okay -p tcp -j DROP
-A okay -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A okay -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A okay -p tcp -j DROP
-A okay -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A okay -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A okay -p tcp -j DROP
COMMIT
# Completed on Sat Apr 3 17:16:58 2004
Всем спасибо за внимание
--- ifmail v.2.15dev5.3
* Origin: NTUU "KPI" (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
