DNS Bind [RESOLVIDO]

deusvan
(usa Ubuntu)

Enviado em 07/10/2010 - 15:01h

Boa tarde, montei un DNS com o bind no ubuntu 9.10 e registrei o mesmo no registro.com, e estou enfrentando o seguinte problema: criei um site somente com a pagina inicial em html para testar. quando estou dentro da minha rede eu acesso norma digitando o endereço do site sem problema, mas quando estou em rede fora da empresa consigo apenas pingar no site o mesmo é resolvido conforme meu DNS. o que posso fazer para resolver isso. obs: estou com o DNS atraz de um firewall. será que pode ser minhas regras ?
Aguardo por ajuda.....

removido
(usa Nenhuma)

Enviado em 07/10/2010 - 16:46h

Sem dúvida que é o firewall, posta pra nós o as regras do firewall (http://pastebin.com)

deusvan
(usa Ubuntu)

Enviado em 07/10/2010 - 17:02h

Libera porta 80
-A INPUT -p TCP --dport 80 -j ACCEPT
-A OUTPUT -p TCP --dport 80 -j ACCEPT
-A FORWARD -p TCP --dport 80 -j ACCEPT

=== Libera Porta 53
-A INPUT -p TCP --dport 53 -j ACCEPT
-A OUTPUT -p TCP --dport 53 -j ACCEPT
-A FORWARD -p TCP --dport 53 -j ACCEPT

########################## DNS ##########################################################
-A PREROUTING -d 192.168.0.74 -p udp -m udp --dport 53 -j DNAT --to-destination 130.1.1.254
-A PREROUTING -d 192.168.0.75 -p tcp -m tcp --dport 53 -j DNAT --to-destination 130.1.1.254
-A PREROUTING -d 192.168.0.74 -p udp -m udp --dport 53 -j DNAT --to-destination 130.1.1.254
-A PREROUTING -d 192.168.0.75 -p tcp -m tcp --dport 53 -j DNAT --to-destination 130.1.1.254

-A PREROUTING -d 192.168.0.74 -p tcp -m tcp --dport 80 -j DNAT --to-destination 130.1.1.241
-A PREROUTING -d 192.168.0.75 -p tcp -m tcp --dport 80 -j DNAT --to-destination 130.1.1.241

removido
(usa Nenhuma)

Enviado em 07/10/2010 - 18:20h

libera o trafego na tabela FORWARD para pacotes com protocolo udp porta 53

e da uma olhada, que eu acho que você precisa dar uma melhorada nesse firewall se estivesse querendo segurança

http://blog.cesar.augustus.nom.br/instalando-o-firewall-no-linux.html

deusvan
(usa Ubuntu)

Enviado em 08/10/2010 - 10:13h

liberei a porta 53 udp com FORWARD so que ainda somente minha rede consegue acessar o site, o pode ser ? se vc poder me passe alguns exemplos de como liberar DNS pelo firewall. outra coisa vc poderia me passar algumas sugestões sobre o que comentou sobre a minha segurança do firewall.

removido
(usa Nenhuma)

Enviado em 08/10/2010 - 12:45h

Talves eu tenha entendido errado, mas por acaso as regras que você postou são apenas essas que você tem no firewall ou é apenas uma parte?

Tente alterar a porta do servidor web 80 pra 8081 e vê se consegue acessar fora da rede, não esqueça de liberar a porta 8081 no firewall também.

deusvan
(usa Ubuntu)

Enviado em 08/10/2010 - 15:31h

deixa eu explicar realmente o que preciso e como estou fazendo. registrei o dns com meu endereço ip fixo. fiz um NAT e o registro.com aceitou meu DNS. so que meu DNS fica em uma maquina na minha rede local com IP 130.1.1.253 e meu site de teste fica tambem na rede local IP 130.1.1.241.
NAT :
-A PREROUTING -d 189.74.132.74 -p tcp -m tcp --dport 80 -j DNAT --to-destination 130.0.0.241
-A PREROUTING -d 189.74.132.75 -p tcp -m tcp --dport 80 -j DNAT --to-destination 130.0.0.241
-A PREROUTING -d 189.74.132.74 -p udp -m udp --dport 53 -j DNAT --to-destination 130.0.0.241
-A PREROUTING -d 189.74.132.75 -p udp -m udp --dport 53 -j DNAT --to-destination 130.0.0.241
-A PREROUTING -d 189.74.132.74 -p udp -m udp --dport 53 -j DNAT --to-destination 130.0.0.253
-A PREROUTING -d 189.74.132.75 -p udp -m udp --dport 53 -j DNAT --to-destination 130.0.0.253
dessa forma estou acessando somente da rede local.... muito estranho

removido
(usa Nenhuma)

Enviado em 08/10/2010 - 18:34h

Pra mim, o estranho é a sua regra de redirecionamento que não tem lógica.

Me explique, por que redirecionar para o ip 130.1.1.241 se a porta de destino for 80 e o ip de destino for 189.74.132.74 ou 189.74.132.75

e o que não tem lógica é querer que seja redirecionado para o ip 130.1.1.241 se a porta de destino for 53 e ip de destino for 189.74.132.74, e que também seja redirecionado para o ip 130.1.1.253 sendo os mesmos destinos de porta e ip, ou seja, mesmas condições para dois caminhos.

Você disse que o seu servidor DNS está na maquina com IP 130.1.1.253 e o site na maquina com IP 130.1.1.241. Então pra quer redirecionar pacotes com destino a porta 53 (DNS) para o IP 130.1.1.241 sendo que é a maquina do site e não a maquina do servidor DNS, e vice-versa?

deusvan
(usa Ubuntu)

Enviado em 11/10/2010 - 10:18h

Estou com essas regras abaixo, sendo que na minha rede continua acessando normal, mais de fora nao consigo.... acredito que agora estou mais proximo do que preciso...

-A PREROUTING -d 189.74.132.74 -p tcp -m tcp --dport 80 -j DNAT --to-destination 130.0.0.241
-A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
-A FORWARD -i eth4 -p udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
-A FORWARD -i eth4 -p tcp --dport 53 -j ACCEPT

deusvan
(usa Ubuntu)

Enviado em 11/10/2010 - 10:56h

Estava olhando meu Dominio no Registro.br e notei que meu DNS estar com status = TIMEOUT, o meu problema deve estar relacionado a isso. vc tem alguma dica sobre como resolver ?

removido
(usa Nenhuma)

Enviado em 11/10/2010 - 12:53h

Isso significa que não está tendo conexão com o servidor dns.

Faz um seguinte, dar um nmap no ip por fora da rede e posta o que mostra:
# nmap <ip> -p 80,53

deusvan
(usa Ubuntu)

Enviado em 11/10/2010 - 15:28h

Consegui resolver, depois de varios testes e com sua ajuda, pensei um pouco mais e deu tudo certo... agora quero agradecer a vc por sua paciencia, valeu, resolvi fazendo o seguinte:

OBS: o erro era no meu firewall que nao estava aceitando as regras de NAT.
########################## DNS ###############
-A PREROUTING -d 189.74.132.74 -p udp -m udp --dport 53 -j DNAT --to-destination 130.0.0.254
-A PREROUTING -d 189.74.132.75 -p udp -m udp --dport 53 -j DNAT --to-destination 130.0.0.254
########################### REDIRECIONA PARA O SITE
-A PREROUTING -d 189.74.132.74 -p tcp -m tcp --dport 80 -j DNAT --to-destination 130.0.0.193
############## LIBERANDO PORTAS 53 E 80 ######
-A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
-A FORWARD -i eth4 -p tcp --dport 80 -j ACCEPT