+ Responder ao Tópico



  1. #1

    Padrão NAT + DNS

    Pessoal, eu tinha anteriormente configurado o DNS na mesma maquina onde estava o FIREWALL.

    Agora eu tenho que configurar o qmail e vou deixar o qmail junto com o DNS.

    Porem, fiz os mesmos procedimentos e configurei o DNS so que não estou conseguindo fazer esse DNS da maquina do qmail subir.

    Como posso deixar as regras para fazer um redirect para o ip 10.11.12.13 para buscar o DNS dessa maquina ?


    Urgente, :toim:

  2. #2

    Padrão NAT + DNS

    ???

    e quais as mensagens de êrro? (/var/log/messages)



  3. #3

    Padrão NAT + DNS

    Então Irado, eu fiz assim.

    MAQUINA 1 - FIREWALL + DNS + SQUID


    MAQUINA 2 - QMAIL


    Eu quero deixar o DNS junto com o Qmail e não mais na MAQUINA 1.
    deixando a MAQUINA 2 - QMAIL + DNS.

    Eu baixei o DNS na MAQUINA 1 e subi o da MAQUINA 2.
    Ai adicionei essas linhas no firewall


    $IPT -t nat -A PREROUTING -s $IPext -p tcp --dport 53 -j DNAT --to-destination 10.11.12.13:53

    $IPT -t nat -A PREROUTING -s $IPext -p udp --dport 53 -j DNAT --to-destination 10.11.12.13:53

    Ja tentei tirar esses :53 também e não adiantou.

    o LOG da MAQUINA 1 (FIREWALL) esta assim

    Jan 18 16:30:14 servidor1 named[7061]: shutting down
    Jan 18 16:30:14 servidor1 named[7061]: stopping command channel on 127.0.0.1#953
    Jan 18 16:30:14 servidor1 named[7061]: no longer listening on 127.0.0.1#53
    Jan 18 16:30:14 servidor1 named[7061]: no longer listening on 200.201.202.203#53
    Jan 18 16:30:14 servidor1 named[7061]: no longer listening on 10.11.12.1#53
    Jan 18 16:30:14 servidor1 named[7061]: exiting



    o LOG da MAQUINA 2(DNS + QMAIL )

    Jan 18 16:29:36 servidor2 named[6809]: starting BIND 9.3.1 -t /chroot/named -u named
    -c /etc/named.conf
    Jan 18 16:29:36 servidor2 named[6809]: loading configuration from '/etc/named.conf'
    Jan 18 16:29:36 servidor2 named[6809]: no IPv6 interfaces found
    Jan 18 16:29:36 servidor2 named[6809]: listening on IPv4 interface lo, 127.0.0.1#53
    Jan 18 16:29:36 servidor2 named[6809]: listening on IPv4 interface eth0, 10.11.12.3#
    53
    Jan 18 16:29:36 servidor2 named[6809]: command channel listening on 127.0.0.1#953
    Jan 18 16:29:36 servidor2 named[6809]: running



    Na verdade acabou correndo apenas os logs por eu ter matado o processo do named da MAQUINA 1 e ter levantado o da MAQUINA 2.


    Sei que não foi tudo isso que você perguntou mas quem sabe assim ja ajuda mais.

    [/u]

  4. #4

    Padrão NAT + DNS

    tudo indica que o bind, na máquina 2, está funcionando normal. Não vou me manifestar quanto ao qmail e iptables (não uso qualquer dos dois), mas continuar com o bind.

    ora, uma vez que está funcionando, faça assim:

    dig www.qualquer.com.br (quem sabe uol?)

    se der êrro:

    dig @200.227.128.20 www.mesmo_anterior.com.br

    se o segundo (que é o servidor da embratel) responder, então o êrro está no seu bind (arquivos de configuração). Se também der êrro, então o problema está no seu firewall.

    divirta-se.

    :twisted:



  5. #5
    charadaa
    Visitante

    Padrão NAT + DNS

    os erros relacionados ao bind (DNS) ficam no arquivo daemon.log, de uma olhada lá

    Falow

  6. #6

    Padrão NAT + DNS

    Seguinte, segui a dica do Irado.

    Seguinte.

    Fui na MAQUINA 1. Matei o named ai fui pra MAQUINA 2 e subi o mesmo.
    Alterei também o resolve.conf e alterei pro ip da MAQUINA 2.

    rodei o comando abaixo.


    /chroot/named/conf# dig www.uol.com.br

    ;; Warning: ID mismatch: expected ID 1380, got 64986
    ;; Warning: ID mismatch: expected ID 1380, got 64986
    ;; Warning: ID mismatch: expected ID 1380, got 64986

    ; <<>> DiG 9.3.1 <<>> www.uol.com.br
    ;; global options: printcmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 1380
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;www.uol.com.br. IN A

    ;; Query time: 2960 msec
    ;; SERVER: 10.11.20.3#53(10.11.20.3)
    ;; WHEN: Thu Jan 19 08:36:01 2006
    ;; MSG SIZE rcvd: 32






    Detalhe, eu não conseguia navegar ainda.

    Ele esta resolvendo pelo que eu vejo. Então tenho que arrumar as regras do IPTABLES agora. Seria isso ?
    Aguardo;



  7. #7

    Padrão NAT + DNS

    note na saída do comando dig a segunte linha:

    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 1380

    Reveja suas configurações do Bind, por que o servidor não está respondendo !!
    Se tiver dificuldades, poste seu arquivo named.conf e as bases DNS (zona direta e reversa) !!

    mtec

    :good:

  8. #8

    Padrão NAT + DNS

    Antes podemos testar o iptables. Como eu preciso direcionar as conexões de resolução de nomes para a maquina 10.11.20.3

    Como eu posso deixar isso pra rodar. Eu to achando que seja o IPTABLES.


    Eu configurei o DNS como chroot para maior segurança
    O arquivo named.conf está assim

    options {
    directory "/conf";
    pid-file "/var/run/named.pid";
    statistics-file "/var/run/named.stats";
    dump-file "/var/run/named.db";
    transfer-format many-answers;
    # hide our "real" version number
    version "[secured]";
    };

    # Use with the following in named.conf, adjusting the allow list as needed:
    key "rndc-key" {
    algorithm hmac-md5;
    secret "M6KZKcBAUJlJbY9smECViA==";
    };

    controls {
    inet 127.0.0.1 port 953
    allow { 127.0.0.1; } keys { "rndc-key"; };
    };
    # End of named.conf


    # The root nameservers
    zone "." {
    type hint;
    file "db.rootcache";
    };

    # localhost - forward zone
    zone "localhost" {
    type master;
    file "db.localhost";
    notify no;
    };

    # localhost - inverse zone
    zone "0.0.127.in-addr.arpa" {
    type master;
    file "db.127.0.0";
    notify no;
    };

    zone "spyderlinux.com.br" in {
    type master;
    file "spyderlinux.com.br.domain";
    };



  9. #9

    Padrão NAT + DNS

    Independente do iptables se vc rodar o comando dig na máquina DNS, se o servidor estiver ok, não pode retornar a mensagem:

    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 1380

    e sim NOERROR no lugar de SERVFAIL

    seu resolv.conf está configurado para resolver no novo servidor ??

    mtec :good: :good: :good:

  10. #10

    Padrão NAT + DNS

    AEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE

    Consegui fazer agora sem dar o.

    HEADER<<- opcode: QUERY, status: SERVFAIL, id: 1380

    deu NOERROR


    So que não consigo navegar ainda. Provavelmente agora eh o IPTABLES.



    Alguma dica sobre ?

    Mudei o resolv.conf pro ip da maquina que eu configurei o dns (lembrando que o ip não eh ip válido)

    eu estou configurando na maquina com im 10.11.20.3

    a maquina com o IP REAL está em outra maquina.

    MAQUINA 1 = iptables + squid (IPReal na eth0 e eth1 como GATEWAY)
    MAQUINA 2 = dns + qmail (ip 10.11.20.3)
    eu preciso direcionar as requisições que vem da máquina 1 para a máquina 2.



  11. #11

    Padrão NAT + DNS

    Se o firewall estiver bloqueando a porta 953, o BIND não sobe.


    Abraços!

  12. #12

    Padrão NAT + DNS

    Vou ver isso amanha. So mi diz uma coisa.

    Eu configurando o dns no Servidor 2

    --------------------|
    Servidor 1 | IPTABLES + SQUID
    --------------------|
    |
    |
    --------------------|
    Servidor 2 | DNS
    --------------------|

    Da seguinte forma,

    Quando eu configurei o DNS no servidor eu fui no servidor 1 alterei o resolv.conf para o ip do servidor 2 no caso (10.11.20.3)

    fui no servidor 2 e deixei também como (10.11.20.3) o DNS.

    OU EU COLOCO NO RESOLV.CONF o ip do DNS DADO PELA EMBRATEL (UM IP VÁLIDO ) como exemplo 200.201.202.203 ?

    DEPOIS, o que eu preciso fazer são as regras do iptables pra direcionar a porta 53 e a 953 para o SERVIDOR 2 ?

    Como ficaria isso apenas egras de nat ou tb de forward ?

    OBS: Desculpa tantas duvidas mas ta fod.. isso.



  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão NAT + DNS

    Citação Postado originalmente por spyderlinux
    Então Irado, eu fiz assim.

    MAQUINA 1 - FIREWALL + DNS + SQUID


    MAQUINA 2 - QMAIL


    Eu quero deixar o DNS junto com o Qmail e não mais na MAQUINA 1.
    deixando a MAQUINA 2 - QMAIL + DNS.

    Eu baixei o DNS na MAQUINA 1 e subi o da MAQUINA 2.
    Ai adicionei essas linhas no firewall


    $IPT -t nat -A PREROUTING -s $IPext -p tcp --dport 53 -j DNAT --to-destination 10.11.12.13:53

    $IPT -t nat -A PREROUTING -s $IPext -p udp --dport 53 -j DNAT --to-destination 10.11.12.13:53

    Ja tentei tirar esses :53 também e não adiantou.

    [/u]
    no Firewall ficaria assim:
    $IPT -t nat -A PREROUTING -p tcp -d $IPext --dport 53 -j DNAT --to $IPint
    $IPT -t nat -A PREROUTING -p udp -d $IPext --dport 53 -j DNAT --to $IPint

    e ainda
    $IPT -t nat -A POSTROUTING -s $IPint -j SNAT --to $IPext -o ethX, onde:
    ethX é a interface que está ligada a web.