Re: Iptables+Dns+Squid...URGENTE!!!!!!
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Oi, desculpe a demora, fiquei enrolado por causa das chuvas aqui em Maceió. Caso ainda não tenha resolvido, neste endereço tem uma explicação de como utilizar o Bind com Views: http://www.linuxforum.com/bind/Bv9ARM.ch06.html#AEN3059 Note que existirão dois arquivos de zona para o mesmo domínio, um para cada view. Em Qua 02 Jun 2004 08:06, Pigmeu escreveu: Marco Carvalho wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pigmeu, eu resolvi isso usando views no Bind, ou seja, para cada domínio eu tenho duas entradas no named, uma com o ip externo e outra com o ip interno. Teria como vc me mostrar um exemplo pra eu saber por onde começar ? - -- .,p***=b_ Marco Carvalho ?P .__ `*b marcocarvalho89(a)bol.com.br |P .d?'`, 9| M: |} |- H' Debian GNU/Linux (Sid) | `#?_._oH' Kernel 2.6.6-i686 `H. ``' `#?. Linux Registered User #141545 `^~. __/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAwRe8MNUOa76bXNERAjMlAJ9Zar5yzuLBVXi6QJJ193zmOeZ8wgCfZhCy kLRYByO7aL5CSdsrR5O35Us= =SIJP -END PGP SIGNATURE-
Re: Iptables+Dns+Squid...URGENTE!!!!!!
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Opa, Thiago. Interessante essa solução, não tinha pensado nisso. Assim que tiver uma folga vou tentar substituir meus views por isso. Em Qua 02 Jun 2004 09:18, Thiago Marum escreveu: Olá Pigmeu, A solução que eu achei para esse problema foi adicionando uma regra de SNAT. O pacote entra no firewall pela interface interna procurando pelo IP EXTERNO e volta para a rede interna. O problema ocorre justamente nesse momento. A maquina que solicitou o pacote solicitou para o IP 200.x.x.x e quem vai responder é a maquina 192.x.x.x, então a maquina solicitante não reconhece aquele pacote de retorno e o descarta. Colocando a regra de SNAT o pacote entra no firewall com o IP de destino sendo o 200.x.x.x e troca o endereço de destivo para 192.x.x.x , ocorre o roteamento e antes do pacote deixar o firewall ele troca o IP de origem para o IP da interface interna do firewall. Dessa forma o servidor web não responde diretamente pra maquina solicitante e sim para o firewall que por sua vez responde para a maquina solicitante. A principio isso pode parecer meio confuso, mas vc pode consultar o mesmo material que eu em: http://www.davidcoulson.net/writing/lxf/39/iptables.pdf Fazendo isso vc deixa as configurações do seu DNS somente para atender as solicitações EXTERNAS, sem precisar de configuração extra. Exemplo de como deve ficar a regra: /sbin/iptables -t nat -A POSTROUTING -o interface_interna -s 192.168.0.0/24 -d 192.168.0.0/24 -j SNAT --to 192.168.0.1 Faça as alterações necessárias para a sua realidade. Espero ter ajudado []'s Thiago Marum - -- .,p***=b_ Marco Carvalho ?P .__ `*b marcocarvalho89(a)bol.com.br |P .d?'`, 9| M: |} |- H' Debian GNU/Linux (Sid) | `#?_._oH' Kernel 2.6.6-i686 `H. ``' `#?. Linux Registered User #141545 `^~. __/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAwRjNMNUOa76bXNERAsedAJ4sS4IBWJ/CW7ekXXst/UMRpjrz7ACfccNr 2EAahJZlZWUeWTuZAevcvpI= =WpHF -END PGP SIGNATURE-
Re: Iptables+Dns+Squid...URGENTE!!!!!!
Marco Carvalho wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pigmeu, eu resolvi isso usando views no Bind, ou seja, para cada domínio eu tenho duas entradas no named, uma com o ip externo e outra com o ip interno. Teria como vc me mostrar um exemplo pra eu saber por onde começar ? Em Ter 01 Jun 2004 16:42, Pigmeu escreveu: Galera tenho o seguinte desenho de rede: Tenho um server com duas placas de rede com os ips WAN: 200.123.123.123 - 255.255.255.192 LAN: 192.168.0.1 - 255.255.255.0 Neste micro tenho o iptables fazendo o compartilhamento, e o rediecionamento da porta 80 pra porta do squid. Este mesmo micro resolve nomes , e responde por alguns dominios e tenho outro micro com uma placa de rede com o ip 192.168.0.253 onde tenho o apache o qmail e algumas coisas mais Bom o problema é que simplesmente minha rede interna não consegue abrir um site que está hospedado no 192.168.0.253 Como resolvo isso? Grato Pela Ajuda Pigmeu - -- .,p***=b_Marco Carvalho ?P .__ `*b marcocarvalho89(a)bol.com.br |P .d?'`, 9| M: |} |- H' Debian GNU/Linux (Sid) | `#?_._oH' Kernel 2.6.6-i686 `H. ``' `#?. Linux Registered User #141545 `^~. __/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAvSuUMNUOa76bXNERAryOAJ9H6XxUH4flILea+SGlLoq26bG+1QCfUaY3 /wShnS3oR64T1I2ugMIyRU4= =UShv -END PGP SIGNATURE- Grato Pela Ajuda Pigmeu
Re: Iptables+Dns+Squid...URGENTE!!!!!!
Olá Pigmeu, A solução que eu achei para esse problema foi adicionando uma regra de SNAT. O pacote entra no firewall pela interface interna procurando pelo IP EXTERNO e volta para a rede interna. O problema ocorre justamente nesse momento. A maquina que solicitou o pacote solicitou para o IP 200.x.x.x e quem vai responder é a maquina 192.x.x.x, então a maquina solicitante não reconhece aquele pacote de retorno e o descarta. Colocando a regra de SNAT o pacote entra no firewall com o IP de destino sendo o 200.x.x.x e troca o endereço de destivo para 192.x.x.x , ocorre o roteamento e antes do pacote deixar o firewall ele troca o IP de origem para o IP da interface interna do firewall. Dessa forma o servidor web não responde diretamente pra maquina solicitante e sim para o firewall que por sua vez responde para a maquina solicitante. A principio isso pode parecer meio confuso, mas vc pode consultar o mesmo material que eu em: http://www.davidcoulson.net/writing/lxf/39/iptables.pdf Fazendo isso vc deixa as configurações do seu DNS somente para atender as solicitações EXTERNAS, sem precisar de configuração extra. Exemplo de como deve ficar a regra: /sbin/iptables -t nat -A POSTROUTING -o interface_interna -s 192.168.0.0/24 -d 192.168.0.0/24 -j SNAT --to 192.168.0.1 Faça as alterações necessárias para a sua realidade. Espero ter ajudado []'s Thiago Marum - Original Message - From: Pigmeu [EMAIL PROTECTED] To: Lista debian-user-portuguese@lists.debian.org Sent: Tuesday, June 01, 2004 4:42 PM Subject: Iptables+Dns+Squid...URGENTE!! Galera tenho o seguinte desenho de rede: Tenho um server com duas placas de rede com os ips WAN: 200.123.123.123 - 255.255.255.192 LAN: 192.168.0.1 - 255.255.255.0 Neste micro tenho o iptables fazendo o compartilhamento, e o rediecionamento da porta 80 pra porta do squid. Este mesmo micro resolve nomes , e responde por alguns dominios e tenho outro micro com uma placa de rede com o ip 192.168.0.253 onde tenho o apache o qmail e algumas coisas mais Bom o problema é que simplesmente minha rede interna não consegue abrir um site que está hospedado no 192.168.0.253 Como resolvo isso? Grato Pela Ajuda Pigmeu
Iptables+Dns+Squid...URGENTE!!!!!!
Galera tenho o seguinte desenho de rede: Tenho um server com duas placas de rede com os ips WAN: 200.123.123.123 - 255.255.255.192 LAN: 192.168.0.1 - 255.255.255.0 Neste micro tenho o iptables fazendo o compartilhamento, e o rediecionamento da porta 80 pra porta do squid. Este mesmo micro resolve nomes , e responde por alguns dominios e tenho outro micro com uma placa de rede com o ip 192.168.0.253 onde tenho o apache o qmail e algumas coisas mais Bom o problema é que simplesmente minha rede interna não consegue abrir um site que está hospedado no 192.168.0.253 Como resolvo isso? Grato Pela Ajuda Pigmeu
Re: Iptables+Dns+Squid...URGENTE!!!!!!
Caro Pigmeu, o problema é que sua rede interna esta resolvendo os nomes do seu dominio externo, vc devera criar um dns local ou uma zona local para sua rede interna nao passe pelo nat do iptables.. pois o iptables não consegue fazer um NAT do tipo: rede-internar internet --- internet --- rede interna novamente é soh fazer com que sua rede interna nao passe por esse nat.. sacou? a melhor forma que vejo é criar uma zona de dns local... ou exemplificando fazendo com que seu dominio direcione direto pro ip local do 192.168.0.253. t+ Vitor Acioli - Original Message - From: Pigmeu [EMAIL PROTECTED] To: Lista debian-user-portuguese@lists.debian.org Sent: Tuesday, June 01, 2004 4:42 PM Subject: Iptables+Dns+Squid...URGENTE!! Galera tenho o seguinte desenho de rede: Tenho um server com duas placas de rede com os ips WAN: 200.123.123.123 - 255.255.255.192 LAN: 192.168.0.1 - 255.255.255.0 Neste micro tenho o iptables fazendo o compartilhamento, e o rediecionamento da porta 80 pra porta do squid. Este mesmo micro resolve nomes , e responde por alguns dominios e tenho outro micro com uma placa de rede com o ip 192.168.0.253 onde tenho o apache o qmail e algumas coisas mais Bom o problema é que simplesmente minha rede interna não consegue abrir um site que está hospedado no 192.168.0.253 Como resolvo isso? Grato Pela Ajuda Pigmeu -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables+Dns+Squid...URGENTE!!!!!!
no redirect do iptables na porta 80 faca assim iptables -A FORWARD -p tcp -i interface interna -d! www.seusite.org -j redirect --to-port 3128 assim tudo que for diferente do seu site vai ser redirecionado qq posta denovo []´s AndrePigmeu [EMAIL PROTECTED] wrote: Galera tenho o seguinte desenho de rede:Tenho um server com duas placas de redecom os ipsWAN: 200.123.123.123 - 255.255.255.192LAN: 192.168.0.1 - 255.255.255.0Neste micro tenho o iptables fazendo ocompartilhamento, e o rediecionamentoda porta 80 pra porta do squid.Este mesmo micro resolve nomes , eresponde por alguns dominios etenho outro micro com uma placa de redecom o ip 192.168.0.253 onde tenho o apacheo qmail e algumas coisas maisBom o problema é que simplesmenteminha rede interna não consegue abrirum site que está hospedado no 192.168.0.253Como resolvo isso?Grato Pela AjudaPigmeu-- To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]Yahoo! Mail - Participe da pesquisa global sobre o Yahoo! Mail. Clique aqui!
Re: Iptables+Dns+Squid...URGENTE!!!!!!
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pigmeu, eu resolvi isso usando views no Bind, ou seja, para cada domínio eu tenho duas entradas no named, uma com o ip externo e outra com o ip interno. Em Ter 01 Jun 2004 16:42, Pigmeu escreveu: Galera tenho o seguinte desenho de rede: Tenho um server com duas placas de rede com os ips WAN: 200.123.123.123 - 255.255.255.192 LAN: 192.168.0.1 - 255.255.255.0 Neste micro tenho o iptables fazendo o compartilhamento, e o rediecionamento da porta 80 pra porta do squid. Este mesmo micro resolve nomes , e responde por alguns dominios e tenho outro micro com uma placa de rede com o ip 192.168.0.253 onde tenho o apache o qmail e algumas coisas mais Bom o problema é que simplesmente minha rede interna não consegue abrir um site que está hospedado no 192.168.0.253 Como resolvo isso? Grato Pela Ajuda Pigmeu - -- .,p***=b_ Marco Carvalho ?P .__ `*b marcocarvalho89(a)bol.com.br |P .d?'`, 9| M: |} |- H' Debian GNU/Linux (Sid) | `#?_._oH' Kernel 2.6.6-i686 `H. ``' `#?. Linux Registered User #141545 `^~. __/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAvSuUMNUOa76bXNERAryOAJ9H6XxUH4flILea+SGlLoq26bG+1QCfUaY3 /wShnS3oR64T1I2ugMIyRU4= =UShv -END PGP SIGNATURE-