+ Responder ao Tópico



  1. #1
    lnando
    Visitante

    Padrão PROXY/DNS/

    Olá pessoal, gostaria de saber o seguinte estou colocando um DNS na minha rede (Primário INTERNET) o secundário fica na Concessionária, minha dúvida é o seguinte; posso deixar este DNS dentro de minha rede interna com endereço válido e consequentemente no PROXY redirecionar através do Iptables? Ou uma maneira certa para fazer isto?

    Abraços

    Fernando

  2. #2
    Danilo_Montagna
    Visitante

    Padrão PROXY/DNS/

    o correto seria vc deixar o DNS em uma maquina com IP invalido... e a partir do iptables vc redirecionar as conexoes 53/tcp e 53/udp para essa maquina fazendo DNAT..



  3. #3
    Futuremax
    Visitante

    Padrão PROXY/DNS/

    Vc devera configurar um novo ip para a eth0, se tiver dúvidas quanto a isso me passa sua distro que vejo se posso ajudar...

    iptables -t nat -A POSTROUTING -s IP_NOVO -j DNAT --to IP_DNS_INTERNO

    Assim todos os pacotes que produrarem pelo ip novo que deve ser configurado como DNS nas máquinas ele jogará para o ip real do sevidor ou seja o ip interno dele....

  4. #4
    Futuremax
    Visitante

    Padrão PROXY/DNS/

    Desculpa, não tinha lido a mensagem do danilo, se vc quizer fazer como ele disse fica assim:
    iptables -t nat -A POSTROUTING -p tcp --dport 53 -j DNAT --to IP_DNS_INTERNO
    iptables -t nat -A POSTROUTING -p udp --dport 53 -j DNAT --to IP_DNS_INTERNO
    Assim vc não precisa configurar outro ip para a máquina....
    Desculpas.... <IMG SRC="images/forum/icons/icon_cool.gif">



  5. #5
    lnando
    Visitante

    Padrão PROXY/DNS/

    Blza, vou pegar a faixa de endereços novos e o DNS secundário da concessionário, quanto tiver tudo em mãos vou fazer a configuração, qualquer dúvida (muito possível) volto a questionar.

    Por enquanto, obrigado

    Abraços
    Fernando

  6. #6
    lnando
    Visitante

    Padrão PROXY/DNS/

    Se eu etendi, seria necessário colocar mais um ip na eth0 do proxy, tipo
    ifconfig eth0:1 IP_VALIDO???

    Este IP_VALIDO seria meu DNS registrado?
    Quando houver pacotes para ele, redireciono para minha rede Interna?

    AT+
    Fernando



  7. #7
    Danilo_Montagna
    Visitante

    Padrão PROXY/DNS/

    Só um detalhe...

    o correto é usa PREROUTING, pois os pacotes ainda nao teriam sofrido NAT..

    e nao POSTROUTING..

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-02-20 11:40, Futuremax wrote:
    Desculpa, não tinha lido a mensagem do danilo, se vc quizer fazer como ele disse fica assim:
    iptables -t nat -A POSTROUTING -p tcp --dport 53 -j DNAT --to IP_DNS_INTERNO
    iptables -t nat -A POSTROUTING -p udp --dport 53 -j DNAT --to IP_DNS_INTERNO
    Assim vc não precisa configurar outro ip para a máquina....
    Desculpas.... <IMG SRC="images/forum/icons/icon_cool.gif">
    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

  8. #8
    Futuremax
    Visitante

    Padrão PROXY/DNS/

    Só no caso mais acima, na segunda resposta minha não....



  9. #9
    lnando
    Visitante

    Padrão PROXY/DNS/

    De fato vc está certo! Agora me diz uma coisa, como estou começando a fazer tudo por aqui funcionar em LINUX, estou com uma dúvida no seguinte:

    No meu proxy tenho IP_Valido e IP_Interno, ok!
    Vou montar um DNS dentro da rede interna, ok!
    Neste momento que estou perdido, como vou fazer para que este DNS seja encontrado? Por exemplo se meu IP_Valido do Proxy for 200.111.111.1 e o meu endereço do DNS for 200.111.111.2, ou o endereço do IP_Valido deverá ser o meu DNS?
    Se puder dar esta luz agradeço.


    Abraços

    Fernando

  10. #10
    Danilo_Montagna
    Visitante

    Padrão PROXY/DNS/

    No meu proxy tenho IP_Valido e IP_Interno, ok!
    -------
    R.: isso ae..
    -------
    Vou montar um DNS dentro da rede interna, ok!
    -------
    R.: ok.. isso mesmo.. é o mais correto e indicado se tratando de segurança da DMZ...
    -------
    Neste momento que estou perdido, como vou fazer para que este DNS seja encontrado? Por exemplo se meu IP_Valido do Proxy for 200.111.111.1 e o meu endereço do DNS for 200.111.111.2, ou o endereço do IP_Valido deverá ser o meu DNS?
    Se puder dar esta luz agradeço.
    -------
    R.: seguinte, o que vc tem que entender é o conceito de NAT, que é pegar o IP privado do seu DNS interno e alterar o mesmo pelo IP valido do firewall/proxy e responder assim entao, a requisicao ao seu DNS.. nas portas 53/tcp e 53/udp...

    a regra citada acima "PREROUTING" ja esta dizendo que o seu ip privado ira sofrer uma NAT antes de ser encaminmhada a requisicao ao seu DNS interno...

    assim quem requisitar o seu DNS de fora, vai ter a impressao qeu ele tem o IP valido.. e que a conexao nem passa por firewall.. blz?

    na mesam regra acima... a tag DNAT --to IP_privado<IMG SRC="images/forum/icons/icon_razz.gif">orta , informa qual sera o IP interno que responder pelo serviço.. e em qual porta esse serviço esta escutando..

    qaulquer duvida poste aqui..


    =================================
    Danilo Montagna
    Analista de Suporte / Consultor Técnico
    Netowork Security Engineer
    Microsoft Certified Professional
    [email protected]
    http://www.mcpdomain.com
    =================================

    [ Esta mensagem foi editada por: Danilo_Montagna em 21-02-2003 11:38 ]

    [ Esta mensagem foi editada por: Danilo_Montagna em 21-02-2003 11:38 ]