Firewall + DNS -> Não está funcionando corretamente

[Alexandre_Catanduva]

Fala galera do fórum! Vocês não vão acreditar, mas ainda não consegui fazer com que minha rede funcione como eu gostaria.
Novamente agradeço a todos que têm tentado me ajudar e conto com o apoio de todos para tentar dar um jeito definitivo nessa situação.

Seguinte, vou detalhar minhas configurações para ver onde estou errando.
O problema só pode ser ou no firewall ou no servidor DNS. Não há outra possibilidade.

Acredito que seja no firewall, acho que o redirecionamento não está sendo feito corretamente, mas vamos lá.

Detalhe: Sempre onde tiver 200.x.x.x é o meu IP do Speedy.

A minha estrutura fixa é a seguinte:

- São três servidores (no entanto 1 não está em funcionamento ainda)
- Serv 1:
Firewall (somente isso, não tem mais nenhum serviço rodando nessa máquina);
Três placas de rede:
eth0 (ip internet - Speedy Business) --> 200.x.x.x
eth1 (servidores DMZ) --> 192.168.0.254
eth2 (rede interna, estações XP) --> 192.168.1.254

- Serv 2:
Dns/Web/Email/Banco de dados (roda bind, apache, postfix, firebird)
Uma placa de rede:
eth0 --> 192.168.1.1

- Serv 3:
Mailing (vai rodar postfix com uma lista de email de clientes com +- 10000 emails - NÂO ESTÁ EM OPERAÇÃO AINDA)

- Duas Estações rodando Windows XP Pro
- Estação 1
IP: 192.168.1.50
Mascara: 255.255.255.0
Gateway: 192.168.1.254
DNS: 192.168.1.1

- Estação 2
IP: 192.168.1.51
Mascara: 255.255.255.0
Gateway: 192.168.1.254
DNS: 192.168.1.1

PS: Das estações consigo navegar normalmente, acesso sem problemas todos os sites da internet (www.terra.com.br, www.uol.com.br, etc). Acesso também serviços como ICQ e MSN. Mas se eu digitar o meu IP fixo não abre minha pagina (http://200.x.x.x/)


Eu tenho dois dominios registrados na Fapesp (www.kardecbooks.com.br e www.espiritanet.com.br) os quais estão configurados no servidor de um amigo meu porque quando eu comprei os dominios ainda não tinha os servidores.
Hoje os DNS configurados na Fapesp para responder são desse meu amigo, tanto o primário quanto o secundário. Uma das coisas que quero fazer é colocar o meu como primário e deixar o secundário no servidor dele.

O que está acontecendo é o seguinte, das estações XP eu consigo acessar o servidor DNS/Web através do ip interno (192.168.1.1)
Fiz os seguintes teste:

C:\telnet 192.168.1.1 53 (Conectou normal)
C:\telnet 192.168.1.1 80 (Conectou normal)

C:\>telnet 200.x.x.x 53
Conectando-se a 200.x.x.x...Não foi possível abrir conexão com host na porta 53: conexão falhou

C:\>telnet 200.x.x.x 80
Conectando-se a 200.x.x.x...Não foi possível abrir conexão com host na porta 80: conexão falhou

C:\>nslookup www.kardecbooks.com.br
*** Não é possível encontrar o nome de servidor para o endereço 192.168.1.1: Non-existent domain
*** Os servidores padrão não estão disponíveis
Servidor: UnKnown
Address: 192.168.1.1

Nome = www.kardecbooks.com.br
Address: 200.x.x.x

C:\>nslookup www.espiritanet.com.br
*** Não é possível encontrar o nome de servidor para o endereço 192.168.1.1: Non-existent domain
*** Os servidores padrão não estão disponíveis
Servidor: UnKnown
Address: 192.168.1.1

Nome = www.espiritanet.com.br
Address: 200.x.x.x

C:\>nslookup 200.x.x.x
*** Não é possível encontrar o nome de servidor para o endereço 192.168.1.1: Non-existent domain
*** Os servidores padrão não estão disponíveis
Servidor: UnKnown
Address: 192.168.1.1

Nome = baleia.kardecbooks.com.br
Address: 200.x.x.x

C:\>ping www.kardecbooks.com.br

Disparando contra www.kardecbooks.com.br [200.x.x.x] com 32 bytes de dados:

Resposta de 200.x.x.x: bytes=32 tempo<1ms TTL=64
Resposta de 200.x.x.x: bytes=32 tempo<1ms TTL=64
Resposta de 200.x.x.x: bytes=32 tempo<1ms TTL=64
Resposta de 200.x.x.x: bytes=32 tempo<1ms TTL=64

Estatísticas do Ping para 200.x.x.x:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% de perda),
Aproximar um número redondo de vezes em milissegundos:
Mínimo = 0ms, Máximo = 0ms, Média = 0ms

Testei também a página: http://registro.br/cgi-bin/nicbr/dnscheck
Domínio www.kardecbooks.com.br
DNS 200.x.x.x
Tempo esgotado
0
Tempo de resposta -> 0.00 s


Vou passar meus arquivos de configuração:

Arquivos no servidor Firewall:
------------------ Firewall ------------------------------
#!/bin/bash

##### Carrega modulos #####
modprobe iptable_filter
modprobe iptable_nat
modprobe iptable_mangle
modprobe ipt_conntrack
modprobe ipt_TOS
modprobe ipt_LOG
modprobe ipt_MASQUERADE

##### Zera todas as regras #####
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

##### Definicao de politicas #####
## Tabela Filter ##
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT

## Tabela nat ##
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Tabela mangle ##
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

##### Abre algumas portas #####
## Portas 53/80 (DNS/Web) ##
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -p udp --destination-port 53 -j ACCEPT

##### Redireciona as portas abertas para o servidor DNS/WEB #####
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-dest 192.168.1.1:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to-dest 192.168.1.1:53
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-dest 192.168.1.1:53
iptables -A FORWARD -p tcp -i eth0 --dport 80 -d 192.168.1.1 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 --dport 53 -d 192.168.1.1 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 53 -d 192.168.1.1 -j ACCEPT

##### Aceita todo trafego vindo/indo para loopback #####
iptables -A INPUT -i lo -j ACCEPT

##### Aceita todo trafego vindo da rede interna #####
iptables -A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT

##### Qualquer outra conexao desconhecida eh registrada e derrubada #####
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP

##### Ativa o redirecionamento de pacotes #####
echo "1" > /proc/sys//net/ipv4/ip_forward

##### Numero maximo de conexoes simultaneas #####
echo "8192" > /proc/sys/net/ipv4/ip_conntrack_max

##### Chain FORWARD #####
## Permite redirecionamento de conexoes entre as interfaces locais ##
iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT

## Qualquer trafego vindo/indo para outras interfaces sera bloqueado ##
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
#iptables -A FORWARD -j DROP

##### Chain POSTROUTING #####
## Permite qualquer conexao vindo com destino a lo e rede local para eth2 ##
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -j ACCEPT

## Masquerading ##
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

## Qualquer outro tipo de trafego eh registrado e derrubado ##
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP

##### Tabela mangle #####
iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 21 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 23 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 6665:6668 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth2 -p udp --dport 53 -j TOS --set-tos 0x10


Arquivos no servidor DNS/Web/etc
----------------------- named.conf --------------------------------
// generated by named-bootconf.pl

options {
directory "/var/named";
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
dump-file "/var/named/dump/named_dump.db";
statistics-file "/var/named/dump/named.stats";
memstatistics-file "/var/named/dump/named.memstats";
// remove this next line if you want named to listen on
// all available interfaces, or adjust add new ones as
// you see fit
listen-on { 127.0.0.1;192.168.1.1;200.x.x.x; };

};

controls {
inet * port 953 allow { 127.0.0.1; }; //Para usar o rndc apenas em localhos
t
};

//
// a caching only nameserver config
//
zone "." IN {
type hint;
file "named.ca";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};

zone "localhost" {
type master;
file "localhost.zone";
};

zone "x.x.200.in-addr.arpa" IN {
type master;
file "dominio.rev";
};

//zone "1.168.192.in-addr.arpa" IN {
// type master;
// file "local.rev";
//};

zone "kardecbooks.com.br" IN {
type master;
file "kardecbooks.zone";
};

zone "espiritanet.com.br" IN {
type master;
file "espiritanet.zone";
};

-------------------------------- named.ca -------------------------------
; This file holds the information on root name servers needed to
; initialize cache of Internet domain name servers
; (e.g. reference this file in the "cache . <file>"
; configuration file of BIND domain name servers).
;
; This file is made available by InterNIC registration services
; under anonymous FTP as
; file /domain/named.root
; on server FTP.RS.INTERNIC.NET
; -OR- under Gopher at RS.INTERNIC.NET
; under menu InterNIC Registration Services (NSI)
; submenu InterNIC Registration Archives
; file named.root
;
; last update: Aug 22, 1997
; related version of root zone: 1997082200
;
;
; formerly NS.INTERNIC.NET
;
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;
; formerly NS1.ISI.EDU
;
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107
;
; formerly C.PSI.NET
;
. 3600000 NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
;
; formerly TERP.UMD.EDU
;
. 3600000 NS D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90
;
; formerly NS.NASA.GOV
;
. 3600000 NS E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10
;
; formerly NS.ISC.ORG
;
. 3600000 NS F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241
;
; formerly NS.NIC.DDN.MIL
;
. 3600000 NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
;
; formerly AOS.ARL.ARMY.MIL
;
. 3600000 NS H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53
;
; formerly NIC.NORDU.NET
;
. 3600000 NS I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17
;
; temporarily housed at NSI (InterNIC)
;
. 3600000 NS J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET. 3600000 A 198.41.0.10
;
; housed in LINX, operated by RIPE NCC
;
. 3600000 NS K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129
;
; temporarily housed at ISI (IANA)
;
. 3600000 NS L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET. 3600000 A 198.32.64.12
;
; housed in Japan, operated by WIDE
;
. 3600000 NS M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33
; End of File

------------------- named.local ---------------------------
@ IN SOA localhost. root.localhost. (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS localhost.

1 IN PTR localhost.

------------------- localhost.zone ------------------------
$TTL 86400
@ 1D IN SOA @ root (
2005021101 ;serial (aaaammddxx)
10800 ;refresh 3 horas
1800 ;retry 30 minutos
36000 ;expiry 10 horas
86400) ;minimum 24 horas

1D IN NS @
1D IN A 127.0.0.1

-------------------- dominio.rev --------------------------
x.x.200.in-addr.arpa. IN SOA baleia.kardecbooks.com.br. root.kardecbooks.com.br.(
200528021 ; Serial number (increase it after edit)
10800 ; Refresh after 3 hours (3 x 3600 sec)
3600 ; Retry after 1 hour (1 x 3600 sec)
604800 ; Expire after 1 week (7 x 24 x 3600 sec)
86400 ) ; Minimum TTL of 1 day (24 x 3600 sec)
; Name servers
x.x.200.in-addr.arpa. IN NS baleia.kardecbooks.com.br.
; Addresses point to canonical name
x.x.x.200.in-addr.arpa. IN PTR baleia.kardecbooks.com.br.

------------------ local.rev --------------------------------
1.168.192.in-addr.arpa IN SOA baleia.kardecbooks.com.br. root.baleia.kardecbooks.com.br. (
200528021 ; Serial number (increase it after edit)
10800 ; Refresh after 3 hours (3 x 3600 sec)
3600 ; Retry after 1 hour (1 x 3600 sec)
604800 ; Expire after 1 week (7 x 24 x 3600 sec)
86400 ) ; Minimum TTL of 1 day (24 x 3600 sec)

; Name servers
1.168.192.in-addr.arpa. IN NS baleia.kardecbooks.com.br.
; Addresses point to canonical name
1.1.168.192.in-addr.arpa. IN PTR baleia.kardecbooks.com.br.

------------------- kardecbooks.zone -------------------------
$TTL 86400
@ IN SOA baleia.kardecbooks.com.br. root.kardecbooks.com.br. (
2005021101 ;serial (aaaammddxx)
10800 ;refresh 3 horas
1800 ;retry 30 minutos
36000 ;expiry 10 horas
86400) ;minimum 24 horas

IN NS baleia.kardecbooks.com.br.

kardecbooks.com.br. IN MX 0 mx
kardecbooks.com.br. IN MX 10 mx


localhost IN A 127.0.0.1
www IN A 200.x.x.x
baleia IN A 200.x.x.x

----------------- espiritanet.zone -------------------------------
$TTL 86400
@ IN SOA baleia.kardecbooks.com.br. root.espiritanet.com.br. (
2005021101 ;serial (aaaammddxx)
10800 ;refresh 3 horas
1800 ;retry 30 minutos
36000 ;expiry 10 horas
86400) ;minimum 24 horas

IN NS baleia.kardecbooks.com.br.

espiritanet.com.br. IN MX 0 mx
espiritanet.com.br. IN MX 10 mx


localhost IN A 127.0.0.1
www IN A 200.x.x.x
baleia IN A 200.x.x.x

---------------------- host.conf ---------------------------------
order hosts,bind
multi on

------------------- resolv.conf ----------------------------------
search kardecbooks.com.br
#nameserver 192.168.1.1
nameserver 127.0.0.1
nameserver 200.x.x.65 (DNS informado pela telefonica)

------------------- hosts ----------------------------------------
127.0.0.1 localhost.localdomain localhost
192.168.1.1 baleia.kardecbooks.com.br baleia

TESTE FEITO NO SERVIDOR DNS:

[root@baleia etc]# nslookup www.kardecbooks.com.br
Note: nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead. Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: www.kardecbooks.com.br
Address: 200.x.x.x

[root@baleia etc]# nslookup 200.x.x.x
Note: nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead. Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Server: 127.0.0.1
Address: 127.0.0.1#53

x.x.x.200.in-addr.arpa name = baleia.kardecbooks.com.br.

[root@baleia etc]#
##############################################

Bom pessoal, desculpa o post tão grande, mas é que achei necessário colocar todos os arquivos de configuração para vocês poderem ver onde eu não estou conseguindo, ou seja, cade o problema ?? hehehehehe

Se for necessário mais algum arquivo que eu tenha esquecido falem que eu posto aqui, blz ??

Help!!!

[Alexandre_Catanduva]

Fala pessoal !!

E ai, ninguém sabe o que poderia estar errado nessa minha configuração?

[Alexandre_Catanduva]

Help!! :cry:

[Alexandre_Catanduva]

Gente, não é possível que nenhuma alma caridosa não possa me ajudar .. hehehehe.. to começando a ficar desesperado!