- PROXY/DNS/
+ Responder ao Tópico
-
PROXY/DNS/
Olá pessoal, gostaria de saber o seguinte estou colocando um DNS na minha rede (Primário INTERNET) o secundário fica na Concessionária, minha dúvida é o seguinte; posso deixar este DNS dentro de minha rede interna com endereço válido e consequentemente no PROXY redirecionar através do Iptables? Ou uma maneira certa para fazer isto?
Abraços
Fernando
-
Danilo_Montagna
Visitante
PROXY/DNS/
o correto seria vc deixar o DNS em uma maquina com IP invalido... e a partir do iptables vc redirecionar as conexoes 53/tcp e 53/udp para essa maquina fazendo DNAT..
-
PROXY/DNS/
Vc devera configurar um novo ip para a eth0, se tiver dúvidas quanto a isso me passa sua distro que vejo se posso ajudar...
iptables -t nat -A POSTROUTING -s IP_NOVO -j DNAT --to IP_DNS_INTERNO
Assim todos os pacotes que produrarem pelo ip novo que deve ser configurado como DNS nas máquinas ele jogará para o ip real do sevidor ou seja o ip interno dele....
-
PROXY/DNS/
Desculpa, não tinha lido a mensagem do danilo, se vc quizer fazer como ele disse fica assim:
iptables -t nat -A POSTROUTING -p tcp --dport 53 -j DNAT --to IP_DNS_INTERNO
iptables -t nat -A POSTROUTING -p udp --dport 53 -j DNAT --to IP_DNS_INTERNO
Assim vc não precisa configurar outro ip para a máquina....
Desculpas.... <IMG SRC="images/forum/icons/icon_cool.gif">
-
PROXY/DNS/
Blza, vou pegar a faixa de endereços novos e o DNS secundário da concessionário, quanto tiver tudo em mãos vou fazer a configuração, qualquer dúvida (muito possível) volto a questionar.
Por enquanto, obrigado
Abraços
Fernando
-
PROXY/DNS/
Se eu etendi, seria necessário colocar mais um ip na eth0 do proxy, tipo
ifconfig eth0:1 IP_VALIDO???
Este IP_VALIDO seria meu DNS registrado?
Quando houver pacotes para ele, redireciono para minha rede Interna?
AT+
Fernando
-
Danilo_Montagna
Visitante
PROXY/DNS/
Só um detalhe...
o correto é usa PREROUTING, pois os pacotes ainda nao teriam sofrido NAT..
e nao POSTROUTING..
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-02-20 11:40, Futuremax wrote:
Desculpa, não tinha lido a mensagem do danilo, se vc quizer fazer como ele disse fica assim:
iptables -t nat -A POSTROUTING -p tcp --dport 53 -j DNAT --to IP_DNS_INTERNO
iptables -t nat -A POSTROUTING -p udp --dport 53 -j DNAT --to IP_DNS_INTERNO
Assim vc não precisa configurar outro ip para a máquina....
Desculpas.... <IMG SRC="images/forum/icons/icon_cool.gif">
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
-
PROXY/DNS/
Só no caso mais acima, na segunda resposta minha não....
-
PROXY/DNS/
De fato vc está certo! Agora me diz uma coisa, como estou começando a fazer tudo por aqui funcionar em LINUX, estou com uma dúvida no seguinte:
No meu proxy tenho IP_Valido e IP_Interno, ok!
Vou montar um DNS dentro da rede interna, ok!
Neste momento que estou perdido, como vou fazer para que este DNS seja encontrado? Por exemplo se meu IP_Valido do Proxy for 200.111.111.1 e o meu endereço do DNS for 200.111.111.2, ou o endereço do IP_Valido deverá ser o meu DNS?
Se puder dar esta luz agradeço.
Abraços
Fernando
-
Danilo_Montagna
Visitante
PROXY/DNS/
No meu proxy tenho IP_Valido e IP_Interno, ok!
-------
R.: isso ae..
-------
Vou montar um DNS dentro da rede interna, ok!
-------
R.: ok.. isso mesmo.. é o mais correto e indicado se tratando de segurança da DMZ...
-------
Neste momento que estou perdido, como vou fazer para que este DNS seja encontrado? Por exemplo se meu IP_Valido do Proxy for 200.111.111.1 e o meu endereço do DNS for 200.111.111.2, ou o endereço do IP_Valido deverá ser o meu DNS?
Se puder dar esta luz agradeço.
-------
R.: seguinte, o que vc tem que entender é o conceito de NAT, que é pegar o IP privado do seu DNS interno e alterar o mesmo pelo IP valido do firewall/proxy e responder assim entao, a requisicao ao seu DNS.. nas portas 53/tcp e 53/udp...
a regra citada acima "PREROUTING" ja esta dizendo que o seu ip privado ira sofrer uma NAT antes de ser encaminmhada a requisicao ao seu DNS interno...
assim quem requisitar o seu DNS de fora, vai ter a impressao qeu ele tem o IP valido.. e que a conexao nem passa por firewall.. blz?
na mesam regra acima... a tag DNAT --to IP_privado<IMG SRC="images/forum/icons/icon_razz.gif">orta , informa qual sera o IP interno que responder pelo serviço.. e em qual porta esse serviço esta escutando..
qaulquer duvida poste aqui..
=================================
Danilo Montagna
Analista de Suporte / Consultor Técnico
Netowork Security Engineer
Microsoft Certified Professional
[email protected]
http://www.mcpdomain.com
=================================
[ Esta mensagem foi editada por: Danilo_Montagna em 21-02-2003 11:38 ]
[ Esta mensagem foi editada por: Danilo_Montagna em 21-02-2003 11:38 ]