+ Responder ao Tópico



  1. #1
    moon_knight
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Pessoal fiz este firewall. Só que agora apesar de ter colocado as
    regras para a abertura de portas DNS, a porta 53 não fica aberta
    nessa máquina e não consigo fazer meu DNS funcionar.
    Alguém pode ajudar ?

    #Limpando regras
    iptables -F

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Aceita todo o tráfego vindo do loopback e indo pro loopback
    iptables -A INPUT -i lo -j ACCEPT

    #Portas abertas no roteador para Servidores/Servicos

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 20 -j
    ACCEPT

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 21 -j
    ACCEPT

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 22 -j
    ACCEPT

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 25 -j
    ACCEPT

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 80 -j
    ACCEPT

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 110 -j
    ACCEPT

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 143 -j
    ACCEPT

    iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 53 -j
    ACCEPT

    iptables -A INPUT -p udp -m state --state NEW -s 0/0 --dport 53 -j
    ACCEPT

    ---------------------------------------
    nmap localhost

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    Interesting ports on localhost.localdomain (127.0.0.1):
    (The 1541 ports scanned but not shown below are in state: closed)
    Port State Service
    21/tcp open ftp
    22/tcp open ssh
    25/tcp open smtp
    80/tcp open http
    110/tcp open pop-3
    111/tcp open sunrpc
    143/tcp open imap2
    443/tcp open https


    Nmap run completed -- 1 IP address (1 host up) scanned in 1
    second

  2. #2
    pflamellas
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Amigo,
    o serviço named estah rodando???
    olha estas regras aqui...
    $iptables -A INPUT -p udp -s dns_externa1 --sport 53 -d xxx.xxx.xxx.xxx -j ACCEPT
    $iptables -A INPUT -p udp -s dns_externa2 --sport 53 -d xxx.xxx.xxx.xxx -j ACCEPT
    $iptables -A FORWARD -p udp -s rede_interna -d dns_externo1 --dport 53 -j ACCEPT
    $iptables -A FORWARD -p udp -s rede_interna -d dns_externo2 --dport 53 -j ACCEPT
    $iptables -A FORWARD -p udp -s dns_externo1 --sport 53 -d rede_interna -j ACCEPT
    $iptables -A FORWARD -p udp -s dns_externo2 --sport 53 -d rede_interna -j ACCEPT
    assim o meu funciona....
    tenta ai
    Abraços
    Paulo Fernando Lamellas

  3. #3
    moon_knight
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Pois é o named não roda nessa máquina, roda num proxy ela só vai disponibilizar a porta 53 e o ip válido para a máquina proxy.

    Robson.

  4. #4
    moon_knight
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Citação Postado originalmente por pflamellas
    Amigo,
    o serviço named estah rodando???
    olha estas regras aqui...
    $iptables -A INPUT -p udp -s dns_externa1 --sport 53 -d xxx.xxx.xxx.xxx -j ACCEPT
    $iptables -A INPUT -p udp -s dns_externa2 --sport 53 -d xxx.xxx.xxx.xxx -j ACCEPT
    O que eu colocaria em dns_externa1 e em dns_externa2 ?

  5. #5

    Padrão Portas para DNS não abrem no firewall

    acho que voces estao pirando nas regras....


    iptables.under-linux.org


    leia que vai clarerar suas duvidas!

  6. #6
    pflamellas
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Kra,
    não estou purando nas regras...ele precisa fazer o dns funcionar..não adianta dah um masquerade que não vai funcionar.....
    o moon_Knight...no lugar de dns_externa1 e dns_externa2 vc coloca o ip dos seus dns...ok
    Paulo Fernando Lamellas

  7. #7

    Padrão Portas para DNS não abrem no firewall

    ele esta sim pflamellas ...

    primeiro ele me diz que o DNS esta uma maquina que nao eh o firewall, entao ele esta usando regras INPUT pelo que pudi ver... logo ele nao entende como funciona as chains do iptables, a syntax ta correta.

    voces aconselharam ele a usar o FORWARD o que eh certo mas ae eu jah nao sei como estao as regras deles, meu post vale ate onde eu li.

    e o pirando nao eh para voce pflamellas, eu sempre me refiro a pessoa que iniciou o topico com a duvida, quando eu me refiro a alguma coisa que outra pessoa falou eu ponho o nome dela ou entao quote na msg

  8. #8
    pflamellas
    Visitante

    Padrão Portas para DNS não abrem no firewall

    mistymst,
    Desculpe cara se dei a entender que fiquei chateado..não foi isso!!!..
    pelo o meu entendido....ele está usando um firewall..que não é o proxy..ou seja o proxy está atrás do firewall.... e ele gostaria que o firewall deixa-se a porta 53 aberta(???) para a máquina responder DNS (proxy)...me corriga se eu estiver enganado(por favor!!)
    o que eu falei para ele é para deixar passar no firewall as repostas DNS...liberando a entrada de pacotes na porta 53 e o repasse de pacotes(forward) da rede interna com os servidores DNS....está correto isso??..acho que ele não tem regra de saída....
    Obrigado
    Paulo Fernando Lamellas

  9. #9
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Citação Postado originalmente por pflamellas
    mistymst,
    Desculpe cara se dei a entender que fiquei chateado..não foi isso!!!..
    pelo o meu entendido....ele está usando um firewall..que não é o proxy..ou seja o proxy está atrás do firewall.... e ele gostaria que o firewall deixa-se a porta 53 aberta(???) para a máquina responder DNS (proxy)...me corriga se eu estiver enganado(por favor!!)
    o que eu falei para ele é para deixar passar no firewall as repostas DNS...liberando a entrada de pacotes na porta 53 e o repasse de pacotes(forward) da rede interna com os servidores DNS....está correto isso??..acho que ele não tem regra de saída....
    Obrigado
    Paulo Fernando Lamellas
    Na verdade tenho um proxy 200.x.x.x e um postfix 200.x.x.x, gostaria de fazer que as aliases eth0:0 e eth0:1 do postfix fossem os meus DNS (ns1 e ns2).
    Mais tenho o named no proxy.

    Será que dá para fazer isso apontar o meu named na máquina proxy para os ip's ns1 e ns2 no postfix ? Será que por iptables dá ?

  10. #10

    Padrão Portas para DNS não abrem no firewall

    blza, o esquema e o seguinte ate agora nao ficou muito claro a estrutura de rede... e esse medo de por ip enfraquece mas td bem.

    o que da par entender eh que ele tem um proxy e um postfix.

    e o que o dns esta na mesma maquina do postfix. blza ate ai.

    mas agora como esta esse firewall dele? o postfix se encontra aonde ? ele tem que explicar detalhado o esquema de rede dele.

    ja que ele nao tem o named no firewall, ele tem que usar a chain FORWARD para repassar o pacote, ate ai tu acertou blza, so que se tu parou para perceber ele quer que aparece no mesmo ip do firewall a porta 53 aberta, so que isso eh impossivel se nao roda la o DNS, a menos que ele usa DNAT , mas pelo visto ele tem mais de 1 ip publico entao nao tem problema.


    o que realmente falta no post e ele explicar de fato a estrutura de rede que ele tem, eu como administrador, me sinto no mato sem cachorro nem gato para me tirar dele e ainda por cima, de noite.

    tem que ser explicado muito bem como eh esse firewall, se ele tem 2 , 3 ou 4 placas de redes, nao importa, onde esta o postfix dele e tudo mais, dizer oque rola nessa rede ai.

    e regra de saida ele tem pois ele postou

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    logo o firewall dele e stateful.

  11. #11
    moon_knight
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Pessoal realmente esse firewall eu montei com ajuda de grupos de discussão me aconselharam a usar certas coisas nele que nem sei pra que serve. Talvez seja melhor monta um simples que domino. Mais vamos lá, Só quero liberar as portas do DNS nele para meus ns1 e ns2 do postfix.

    Proxy e Postfix tem ip's válidos.

    Depois de bater a cabeça nesses dias, e tentar n soluções vou expor o meu problema e a solução que encontrei mais viável.

    Trabalho num local que tem um proxy, para colocar clientes a rede no proxy tem que ser parada. Daí o meu ip's ns1 e ns2 que fazem referência ao postfix não podem ficar no proxy, pois os e-mails vão se perder na parada de rede.

    Daí a solução seria colocar o DNS no postfix, só que o sistema do proxy, que não fui eu que montei, não aceita funcionar sem o DNS e arquivo de zona nele . O named tem que rodar lá. Já tirei o DNS e para os clientes foi um M.
    Na verdade essa máquina e todo complciada, não é igual a um linux comun.

    Eu achei como única solução criar um domínio diferente para o meu postfix, meu domínio é oceano, criei o domínio oceanomail por exemplo para isso. É semelhante e fico legal : ). E é bom que meu postfix não depende desse DNS do proxy. Pois ele vai ficar com DNS independente nele.

    Só que até ai tudo beleza, troquei todas as configs do postfix, DNS, ... Tudo trocado.

    Só que fiz duas aliases na eth0, eth0:0 e eth0:1 para serem meu ns1 e ns2 nesse domínio.

    O problema é que quando vou no registro.br ocorre o seguinte erro nos meus ns1 e ns2, com firewall ou sem firewall ligado:

    Servidor DNS Master :Conexão recusada
    Servidor DNS Slave1 :Conexão recusada

    "O PROBLEMA":

    A porta 53 já está aberta, o Named rodando, o que devo fazer a nível de firewall para essas aliases serem o meu ns1 e ns2 ?

  12. #12
    moon_knight
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Citação Postado originalmente por pflamellas
    Amigo,
    o serviço named estah rodando???
    olha estas regras aqui...
    $iptables -A INPUT -p udp -s dns_externa1 --sport 53 -d xxx.xxx.xxx.xxx -j ACCEPT
    $iptables -A INPUT -p udp -s dns_externa2 --sport 53 -d
    Bom usei essa dica, e me parece que o regsitro.br aceitou, mas ele falou a seguinte mensagem:

    DNS NS1.XXX.COM.BR Tempo esgotado
    DNS NS2.XXX.COM.BR Tempo esgotado

    Será que rolou o DNS, isto de tempo esgotado e porque o firewall ta fechado ?

  13. #13
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Amigo,
    Coloca as regras de FORWARD tb..vc liberoua entrada ...mas não liberou o repasse de pacotes..da rede interna .. ou da máquina dns

  14. #14
    moon_knight
    Visitante

    Padrão Portas para DNS não abrem no firewall

    Bom não possuo rede interna ligada a essa máquina já fiz até isso aqui em baixo e não tive sucesso.

    iptables -A FORWARD -p udp -s 200.220.200.102 --sport 53 -d 200.220.200.96/27 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.220.200.103 --sport 53 -d 200.220.200.96/27 -j ACCEPT