[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar

El día 10 de octubre de 2014, 5:07, Lic. Domingo Varela Yahuitl
<dovay@hotmail.com> escribió:
>
> Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber
> si alguien de uds me da un norte ya que le he buscado las patas al gato y no
> los encuentro, esta vez se trata de que tengo una caja con debian y un
> segmento de ips publicas /23 y de la lan se trata de un segmento 10/8
>
> El problema se trata de que mi lan (10.0.0.0/8 <-- eth1 ) tenga internet
> (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos
> segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de
> salir a internet tenga obviamente una ip homologada, obviamente eso ya lo
> tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS,
> unicamente veo las ips de google o yahoo usando ping, y las consultas via
> dns (nslookup o dig) no me esta funcionando...
>
>
> Anexo mi script para ver si alguien me dice en que estoy fallando
>
>
> NET="eth5"
> LAN_IN="eth3"
>
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
> iptables -t mangle -F
> iptables -t mangle -X
>
> #
> modprobe ip_conntrack
> modprobe ip_conntrack_ftp
> modprobe ip_conntrack_irc
> modprobe ip_nat_ftp
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
> iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> #iptables --table nat --append POSTROUTING --out-interface $NET -j
> MASQUERADE
> iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source
> 201.111.222.254-201.111.223.254
>
> iptables --append FORWARD -j ACCEPT
>
> iptables -A INPUT -i $LAN_IN -j ACCEPT
> iptables -A OUTPUT -o $LAN_IN -j ACCEPT
> iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT
>
> iptables -A INPUT -j DROP
>
>
> Con este script yo puedo conectarme a servers usando la ip, pero si uso el
> nombre del server, o hago una consulta via dns, este simplemente no lo
> realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de
> donde rayos  colocar la regla
>
> Espero su amable ayuda y gracias por todo...
>
>
>
>
>
> Saludos cordiales.
> --
> Lic. Domingo Varela Yahuitl.
>

No se mucho de iptables, pero mira a ver si estás bloqueando el tráfico udp.

http://stackoverflow.com/questions/11064248/block-all-udp-traffic-except-dns-using-iptables

S2.
Reply to: