не работает dns в локалке за iptables =(

Barbie29

в одной локалке данная конфигурация работает, но в другой нет, почему
- не пойму. С сервера я пингую по dns-имени любой сайт. У меня за
файрволом стоят две машины 10.0.0.2 и 10.0.0.3, (для них dns 10.0.0.1,
gateway 10.0.0.1 и netmask'a 255.255.255.0 соответственно). Эти
машины ведут себя зело странно, первая (10.0.0.2) не ходит по dns, но
прекрасно ходит по ip адресу в сеть (пингует и все такое прочее).
Вторая (10.0.0.3) не ходит ни по dns ни по ip, хотя прекрасно пингует
свой шлюз и рядомстоящие машины(всмысле за файрволом). В качестве хаба использую порты rj45
на wireless адаптере DL-254 (ну нету другого хаба)
конфиг машины, где стоят айпитаблы (айпишники кривые)

[winda ~]# nslookup www.ru

Server:         193.232.122.33

Address:        193.232.122.33Non-authoritative answer:

Name:   www.ru

Address: 194.87.0.50

[winda ~]# ifconfig



eth0      Link encap:Ethernet  HWaddr 00:80:48:FB:F8:57

          inet addr:212.152.6.166  Bcast:212.152.6.179  Mask:255.255.255.240

          inet6 addr: fe80::280:48ff:fefb:f857/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:2769 errors:0 dropped:0 overruns:0 frame:0

          TX packets:1003 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:308478 (301.2 KiB)  TX bytes:130342 (127.2 KiB)

          Interrupt:161 Base address:0x6800



eth1      Link encap:Ethernet  HWaddr 00:C0:0D:00:2A:FB

          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0

          inet6 addr: fe80::2c0:dff:fe00:2afb/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:1273 errors:0 dropped:0 overruns:0 frame:0

          TX packets:482 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:138858 (135.6 KiB)  TX bytes:78617 (76.7 KiB)



lo        Link encap:Local Loopback

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:16436  Metric:1

          RX packets:12 errors:0 dropped:0 overruns:0 frame:0

          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:896 (896.0 b)  TX bytes:896 (896.0 b)



[winda ~]# route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

212.152.6.160  0.0.0.0         255.255.255.240 U     0      0        0 eth0

10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1

127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo

0.0.0.0         212.152.6.161  0.0.0.0         UG    0      0        0 eth0

[winda ~]#

[winda ~]# service named status

number of zones: 6

debug level: 0

xfers running: 0

xfers deferred: 0

soa queries in progress: 0

query logging is OFF

recursive clients: 0/1000

tcp clients: 0/100

server is up and running

[winda ~]#

[winda ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

ONBOOT=yes

BOOTPROTO=static

IPADDR=212.152.6.166

NETMASK=255.255.255.240

GATEWAY=212.152.6.161

[winda ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1

ONBOOT=yes

BOOTPROTO=static

IPADDR=10.0.0.1

NETMASK=255.255.255.0

GATEWAY=10.0.0.1

[winda ~]#

[winda ~]# cat /etc/hosts

127.0.0.1  localhost.localdomain localhost

212.152.6.166 winda.mikrosucks.ru winda

10.0.0.2  winda1

10.0.0.3  winda2

[winda ~]#

[winda ~]# cat /etc/sysconfig/network

NETWORKING=yes

GATEWAY=212.152.6.161

GATEWAYDEV=eth0

DNS1=212.152.2.66

HOSTNAME=localhost.localdomain

FORWARD_IPV4=yes

[winda ~]#

это конфиг айпитаблов:

#!/bin/sh



INET_IP="212.152.6.166"

INET_IFACE="eth0"

INET_BROADCAST="212.152.6.175"

LAN_IP="10.0.0.1"

LAN_IP_RANGE="10.0.0.0/24"

LAN_IFACE="eth1"

LO_IFACE="lo"

LO_IP="127.0.0.1"



IPTABLES="/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

/sbin/modprobe ipt_string

/sbin/modprobe ipt_owner

/sbin/modprobe ipt_REJECT

/sbin/modprobe ipt_MASQUERADE

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_conntrack_irc

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_nat_irc

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp

echo "1" > /proc/sys/net/ipv4/ip_dynaddr



$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD ACCEPT

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed

$IPTABLES -N tcp_packets

$IPTABLES -N udp_packets

$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8080 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8081 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets

$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets

$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWAR

Barbie29

кстати, по какойто фиг знает какой причине при загрузке дефолтный маршрут никакой + отсутствует lo(хотя файл ifcfg-lo в системе присутствует потому лечу это через четыре строчки в /etc/rc.d/rc.local
route del -net 0.0.0.0
route del -net 169.254.0.0/16
route add -net 127.0.0.0 netmask 255.0.0.0 lo
route add default gw 212.152.6.161 dev eth0
на вторую строчку можно не обращать внимания, это в новых ядрах какаято хрень специально для беспроводных устройств и т.п.

nik93

после прописывания дефолтных маршрутов работает?

serega1604

глупый вопрос, днс-сервер на 10.0.0.1 стоит?

Barbie29

нет, в том то вся ерунда

Barbie29

named на 10.0.0.1 ставить надо разве? с учетом того, что этот named стоит на 212.152.6.166 ?
хрень собщем какаято одним словом

serega1604

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

а это чо за херь?

serega1604

named на 10.0.0.1 ставить надо разве? с учетом того, что этот named стоит на 212.152.6.166 ?

ну, у тебя заначеная тачка-то обращается к 10.0.0.1, которая эти пакеты не форвардит
вроде так.

Barbie29

ну эти три строчки ваще не очень нужны, по большому счету.... по второму мессаджу.
форвардит куда с 10.0.0.0 на 212.152.6.160? дык 53 порт открыт для dns всяких сообщений
короче у меня политика такого типа - все сначала закрыть, а после открывать по одному порту для каждого приложения, параноя конешно

serega1604

форвардит куда с 10.0.0.0 на 212.152.6.160? дык 53 порт открыт для dns всяких сообщений

1. вроде как должен быть tcp протоколу 53 порт
2. ну открыт, но никто же у тебя на 10.0.0.1 его не прослушивает?
поэтому наверно надо либо с 212.152.6.160 пытаться забирать днс, либо поднимать свой днс-сервер (с блекджеком и шлюхами)
а вообще я хз, пусть умные люди приходят и разбираются

Barbie29

1. вроде как должен быть tcp протоколу 53 порт
2. ну открыт, но никто же у тебя на 10.0.0.1 его не прослушивает?
поэтому наверно надо либо с 212.152.6.160 пытаться забирать днс, либо поднимать свой днс-сервер (с блекджеком и шлюха

ладно, спрошу по другому, ты под днс-сервером какую программу подразумеваешь? я named. он поднят, и системе должно быть ваще пофиг на число интерфейсов.тут дело не в айпитаблах
p.s. самая херня, и амое обидное в том, что я на айпитаблах подсчет траффика настроил (по этой статье http://linuxportal.ru/entry.php/84_0_3_0_C/ ) - работает, сука, а сами айпитаблы нет(точнее работают но через жо...^Wip-адреса и то не все хотя работают на другом серваке, мне аж прям обидно.

serega1604

нет, в том то вся ерунда
...
он поднят

ты уж выбери что-нибудь одно

Barbie29

конкретней можно?
p.s. да блин, походу, перенастраивать все опять придется.

serega1604

что конкретнее?
я задаю вопрос - поднят ли у тебя на 10.0.0.1 днс сервер
ты один раз отвечаешь - нет, а через полчаса говоришь, что поднят.
как тебя понимать?
ЗЫ. конфиги компов, которые за натом тоже стоит наверно показать

Barbie29

какие параметры запуска какой программы мне нужны чтобы поднять на 10.0.0.1 днс-сервер. (физически 10.0.0.1 и 212.152.6.166 это одна машина - потому говорю что поднят)

Barbie29

за файрволом стоят две машины 10.0.0.2 и 10.0.0.3, (для них dns 10.0.0.1, gateway 10.0.0.1 и netmask'a 255.255.255.0 соответственно). вот такие параметры для машин

serega1604

днс серверы разные бывают, соответственно и команды разные
проверь так - dig @127.0.0.1 www.ru - с той, на которой iptables, и dig @10.0.0.1 www.ru (если там не винда, конечно, в таком случае nslookup www.ru)

для них dns 10.0.0.1, gateway 10.0.0.1 и netmask'a 255.255.255.0 соответственно

в таблице роутов больше вообще что-ли ничего нету?

dgaf

ёлки, ну запусти tcpdump и увидишь

Barbie29

запусти tcpdump

[arhimed /root]# tcpdump -i eth0
Kernel filter, protocol ALL, TURBO mode (575 frames datagram packet socket
tcpdump: listening on eth0
63 packets received by filter
[arhimed /root]#
Ничо не увидел, увидел содержимое TOS флагов, увидел тучу служебной информации по пакетам.

dgaf

-nqt port 53
сначала на клиенте, потом на сервере

Barbie29

клиенты пока виндовые... слушай, кажется я понял

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.



C:\Documents and Settings\Administrator>nslookup www.ru

DNS request timed out.

    timeout was 2 seconds.

*** Can't find server name for address 10.0.0.1: Timed out

DNS request timed out.

    timeout was 2 seconds.

*** Can't find server name for address 212.152.6.166: Timed out

*** Default servers are not available

Server:  UnKnown

Address:  10.0.0.1



DNS request timed out.

    timeout was 2 seconds.

DNS request timed out.

    timeout was 2 seconds.

*** Request to UnKnown timed-out



C:\Documents and Settings\Administrator>

и действительно, на 212.152.6.166 у меня адреса нет, не выделил провайдер. И как тут тогда быть?
p.s. а в винде че, nslookup есть?

Barbie29

клиенты виндовые =( где в видне я это пропешу не знаю, файрвол отключен, брандмауэр тоже. ну его ннах короче все!

Barbie29

бля, заработала! Надо оказывается в случаях, когда роутер не имеет dns имени прописывать в настройки виндовых DNS службу имен роутера, т.е. провайдера! А я айпи провайдера вторичным DNS прописал в списке из двух(это где в винде надо устанавливать настройки сети а винда оказывается не умеет заюзывать вторичный DNS, бугага.

nik93

винда оказывается не умеет заюзывать вторичный DNS, бугага.

жесть какая... а нахрена он тогда есть в настройках?

Barbie29

вобщем, оказывается в редхате последних версий named.conf должен лежать не в /etc/ а в /var/named/chroot/etc/
p.s. чтоб они все издохли в страшных муках
p.s.s. там еще и вирусок оказывается есть http://www.securitystronghold.com/solutions/copy.exe-spyware... и не факт что он с собой еще не притащил штук 100 вирусов и т.п., короче в задницу эти все сети виндовые.