Re: Iptables+Dns+Squid...URGENTE!!!!!!

[Marco Carvalho]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Oi, desculpe a demora, fiquei enrolado por causa das chuvas aqui em Maceió.
Caso ainda não tenha resolvido, neste endereço tem uma explicação de como 
utilizar o Bind com Views:
http://www.linuxforum.com/bind/Bv9ARM.ch06.html#AEN3059

Note que existirão dois arquivos de zona para o mesmo domínio, um para cada 
view.

Em Qua 02 Jun 2004 08:06, Pigmeu escreveu:
 Marco Carvalho wrote:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 Pigmeu, eu resolvi isso usando views no Bind, ou seja, para cada domínio
  eu tenho duas entradas no named, uma com o ip externo e outra com o ip
  interno.

 Teria como vc me mostrar um exemplo pra eu saber por onde começar ?



- -- 
  .,p***=b_    Marco Carvalho 
 ?P  .__ `*b   marcocarvalho89(a)bol.com.br
|P  .d?'`, 9|  
M:  |}   |- H'  Debian GNU/Linux (Sid)
|  `#?_._oH'   Kernel 2.6.6-i686
`H.   ``'  
 `#?.   Linux Registered User #141545
   `^~. __/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAwRe8MNUOa76bXNERAjMlAJ9Zar5yzuLBVXi6QJJ193zmOeZ8wgCfZhCy
kLRYByO7aL5CSdsrR5O35Us=
=SIJP
-END PGP SIGNATURE-

Re: Iptables+Dns+Squid...URGENTE!!!!!!

[Marco Carvalho]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Opa, Thiago.

Interessante essa solução, não tinha pensado nisso. Assim que tiver uma folga 
vou tentar substituir meus views por isso.


Em Qua 02 Jun 2004 09:18, Thiago Marum escreveu:
 Olá Pigmeu,

 A solução que eu achei para esse problema foi adicionando uma regra de
 SNAT. O pacote entra no firewall pela interface interna procurando pelo IP
 EXTERNO e volta para a rede interna.
 O problema ocorre justamente nesse momento.

 A maquina que solicitou o pacote solicitou para o IP 200.x.x.x e quem vai
 responder é a maquina 192.x.x.x, então a maquina solicitante não reconhece
 aquele pacote de retorno e o descarta.

 Colocando a regra de SNAT o pacote entra no firewall com o IP de destino
 sendo o 200.x.x.x e troca o endereço de destivo para 192.x.x.x , ocorre o
 roteamento e antes do pacote deixar o firewall ele troca o IP de origem
 para o IP da interface interna do firewall.

 Dessa forma o servidor web não responde diretamente pra maquina solicitante
 e sim para o firewall que por sua vez responde para a maquina solicitante.

 A principio isso pode parecer meio confuso, mas vc pode consultar o mesmo
 material que eu em:
 http://www.davidcoulson.net/writing/lxf/39/iptables.pdf

 Fazendo isso vc deixa as configurações do seu DNS somente para atender as
 solicitações EXTERNAS, sem precisar de configuração extra.

 Exemplo de como deve ficar a regra:
 /sbin/iptables -t nat -A POSTROUTING -o interface_interna -s
 192.168.0.0/24 -d 192.168.0.0/24 -j SNAT --to 192.168.0.1

 Faça as alterações necessárias para a sua realidade.

 Espero ter ajudado

 []'s

 Thiago Marum


- -- 
  .,p***=b_    Marco Carvalho 
 ?P  .__ `*b   marcocarvalho89(a)bol.com.br
|P  .d?'`, 9|  
M:  |}   |- H'  Debian GNU/Linux (Sid)
|  `#?_._oH'   Kernel 2.6.6-i686
`H.   ``'  
 `#?.   Linux Registered User #141545
   `^~. __/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAwRjNMNUOa76bXNERAsedAJ4sS4IBWJ/CW7ekXXst/UMRpjrz7ACfccNr
2EAahJZlZWUeWTuZAevcvpI=
=WpHF
-END PGP SIGNATURE-

Re: Iptables+Dns+Squid...URGENTE!!!!!!

[Pigmeu]

Marco Carvalho wrote:


-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pigmeu, eu resolvi isso usando views no Bind, ou seja, para cada domínio eu 
tenho duas entradas no named, uma com o ip externo e outra com o ip interno.
 


Teria como vc me mostrar um exemplo pra eu saber por onde começar ?


Em Ter 01 Jun 2004 16:42, Pigmeu escreveu:
 


Galera tenho o seguinte desenho de rede:
Tenho um server com duas placas de rede
com os ips
WAN: 200.123.123.123 - 255.255.255.192
LAN:  192.168.0.1 - 255.255.255.0
Neste micro tenho o iptables fazendo o
compartilhamento, e o rediecionamento
da porta 80 pra porta do squid.
Este mesmo micro resolve nomes , e
responde por alguns dominios e
tenho outro micro com uma placa de rede
com o ip 192.168.0.253 onde tenho o apache
o qmail e algumas coisas mais
Bom o problema é que simplesmente
minha rede interna não consegue abrir
um site que está hospedado no 192.168.0.253
Como resolvo isso?


Grato Pela Ajuda
Pigmeu
   



- -- 
 .,p***=b_Marco Carvalho 
?P  .__ `*b   marcocarvalho89(a)bol.com.br
|P  .d?'`, 9|  
M:  |}   |- H'  Debian GNU/Linux (Sid)

|  `#?_._oH'   Kernel 2.6.6-i686
`H.   ``'  
`#?.   Linux Registered User #141545

  `^~. __/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAvSuUMNUOa76bXNERAryOAJ9H6XxUH4flILea+SGlLoq26bG+1QCfUaY3
/wShnS3oR64T1I2ugMIyRU4=
=UShv
-END PGP SIGNATURE-

 


Grato Pela Ajuda
Pigmeu

Re: Iptables+Dns+Squid...URGENTE!!!!!!

[Thiago Marum]

Olá Pigmeu,

A solução que eu achei para esse problema foi adicionando uma regra de SNAT.
O pacote entra no firewall pela interface interna procurando pelo IP EXTERNO
e volta para a rede interna.
O problema ocorre justamente nesse momento.

A maquina que solicitou o pacote solicitou para o IP 200.x.x.x e quem vai
responder é a maquina 192.x.x.x, então a maquina solicitante não reconhece
aquele pacote de retorno e o descarta.

Colocando a regra de SNAT o pacote entra no firewall com o IP de destino
sendo o 200.x.x.x e troca o endereço de destivo para 192.x.x.x , ocorre o
roteamento e antes do pacote deixar o firewall ele troca o IP de origem para
o IP da interface interna do firewall.

Dessa forma o servidor web não responde diretamente pra maquina solicitante
e sim para o firewall que por sua vez responde para a maquina solicitante.

A principio isso pode parecer meio confuso, mas vc pode consultar o mesmo
material que eu em:
http://www.davidcoulson.net/writing/lxf/39/iptables.pdf

Fazendo isso vc deixa as configurações do seu DNS somente para atender as
solicitações EXTERNAS, sem precisar de configuração extra.

Exemplo de como deve ficar a regra:
/sbin/iptables -t nat -A POSTROUTING -o interface_interna -s
192.168.0.0/24 -d 192.168.0.0/24 -j SNAT --to 192.168.0.1

Faça as alterações necessárias para a sua realidade.

Espero ter ajudado

[]'s

Thiago Marum


- Original Message - 
From: Pigmeu [EMAIL PROTECTED]
To: Lista debian-user-portuguese@lists.debian.org
Sent: Tuesday, June 01, 2004 4:42 PM
Subject: Iptables+Dns+Squid...URGENTE!!


 Galera tenho o seguinte desenho de rede:
 Tenho um server com duas placas de rede
 com os ips
 WAN: 200.123.123.123 - 255.255.255.192
 LAN:  192.168.0.1 - 255.255.255.0
 Neste micro tenho o iptables fazendo o
 compartilhamento, e o rediecionamento
 da porta 80 pra porta do squid.
 Este mesmo micro resolve nomes , e
 responde por alguns dominios e
 tenho outro micro com uma placa de rede
 com o ip 192.168.0.253 onde tenho o apache
 o qmail e algumas coisas mais
 Bom o problema é que simplesmente
 minha rede interna não consegue abrir
 um site que está hospedado no 192.168.0.253
 Como resolvo isso?


 Grato Pela Ajuda
 Pigmeu

Iptables+Dns+Squid...URGENTE!!!!!!

[Pigmeu]

Galera tenho o seguinte desenho de rede:
Tenho um server com duas placas de rede
com os ips
WAN: 200.123.123.123 - 255.255.255.192
LAN:  192.168.0.1 - 255.255.255.0
Neste micro tenho o iptables fazendo o
compartilhamento, e o rediecionamento
da porta 80 pra porta do squid.
Este mesmo micro resolve nomes , e
responde por alguns dominios e
tenho outro micro com uma placa de rede
com o ip 192.168.0.253 onde tenho o apache
o qmail e algumas coisas mais
Bom o problema é que simplesmente
minha rede interna não consegue abrir
um site que está hospedado no 192.168.0.253
Como resolvo isso?


Grato Pela Ajuda
Pigmeu

Re: Iptables+Dns+Squid...URGENTE!!!!!!

[Vitor Acioli]

Caro Pigmeu,


o problema é que sua rede interna esta resolvendo os nomes do seu dominio
externo, vc devera criar um dns local ou uma zona local para sua rede
interna nao passe pelo nat do iptables..

pois o iptables não consegue fazer um NAT do tipo: rede-internar  
internet --- internet --- rede interna novamente é soh fazer com que sua
rede interna nao passe por esse nat.. sacou?

a melhor forma que vejo é criar uma zona de dns local... ou exemplificando
fazendo com que seu dominio direcione direto pro ip local do 192.168.0.253.

t+

Vitor Acioli



- Original Message - 
From: Pigmeu [EMAIL PROTECTED]
To: Lista debian-user-portuguese@lists.debian.org
Sent: Tuesday, June 01, 2004 4:42 PM
Subject: Iptables+Dns+Squid...URGENTE!!


 Galera tenho o seguinte desenho de rede:
 Tenho um server com duas placas de rede
 com os ips
 WAN: 200.123.123.123 - 255.255.255.192
 LAN:  192.168.0.1 - 255.255.255.0
 Neste micro tenho o iptables fazendo o
 compartilhamento, e o rediecionamento
 da porta 80 pra porta do squid.
 Este mesmo micro resolve nomes , e
 responde por alguns dominios e
 tenho outro micro com uma placa de rede
 com o ip 192.168.0.253 onde tenho o apache
 o qmail e algumas coisas mais
 Bom o problema é que simplesmente
 minha rede interna não consegue abrir
 um site que está hospedado no 192.168.0.253
 Como resolvo isso?


 Grato Pela Ajuda
 Pigmeu




 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]

Re: Iptables+Dns+Squid...URGENTE!!!!!!

[andre silva]

no redirect do iptables na porta 80 faca assim

iptables -A FORWARD -p tcp -i interface interna -d! www.seusite.org -j redirect --to-port 3128

assim tudo que for diferente do seu site vai ser redirecionado 

qq posta denovo 

[]´s 
AndrePigmeu [EMAIL PROTECTED] wrote:
Galera tenho o seguinte desenho de rede:Tenho um server com duas placas de redecom os ipsWAN: 200.123.123.123 - 255.255.255.192LAN: 192.168.0.1 - 255.255.255.0Neste micro tenho o iptables fazendo ocompartilhamento, e o rediecionamentoda porta 80 pra porta do squid.Este mesmo micro resolve nomes , eresponde por alguns dominios etenho outro micro com uma placa de redecom o ip 192.168.0.253 onde tenho o apacheo qmail e algumas coisas maisBom o problema é que simplesmenteminha rede interna não consegue abrirum site que está hospedado no 192.168.0.253Como resolvo isso?Grato Pela AjudaPigmeu-- To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]Yahoo! Mail - Participe da pesquisa global sobre o Yahoo! Mail. Clique aqui!

Re: Iptables+Dns+Squid...URGENTE!!!!!!

[Marco Carvalho]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pigmeu, eu resolvi isso usando views no Bind, ou seja, para cada domínio eu 
tenho duas entradas no named, uma com o ip externo e outra com o ip interno.

Em Ter 01 Jun 2004 16:42, Pigmeu escreveu:
 Galera tenho o seguinte desenho de rede:
 Tenho um server com duas placas de rede
 com os ips
 WAN: 200.123.123.123 - 255.255.255.192
 LAN:  192.168.0.1 - 255.255.255.0
 Neste micro tenho o iptables fazendo o
 compartilhamento, e o rediecionamento
 da porta 80 pra porta do squid.
 Este mesmo micro resolve nomes , e
 responde por alguns dominios e
 tenho outro micro com uma placa de rede
 com o ip 192.168.0.253 onde tenho o apache
 o qmail e algumas coisas mais
 Bom o problema é que simplesmente
 minha rede interna não consegue abrir
 um site que está hospedado no 192.168.0.253
 Como resolvo isso?


 Grato Pela Ajuda
 Pigmeu

- -- 
  .,p***=b_    Marco Carvalho 
 ?P  .__ `*b   marcocarvalho89(a)bol.com.br
|P  .d?'`, 9|  
M:  |}   |- H'  Debian GNU/Linux (Sid)
|  `#?_._oH'   Kernel 2.6.6-i686
`H.   ``'  
 `#?.   Linux Registered User #141545
   `^~. __/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAvSuUMNUOa76bXNERAryOAJ9H6XxUH4flILea+SGlLoq26bG+1QCfUaY3
/wShnS3oR64T1I2ugMIyRU4=
=UShv
-END PGP SIGNATURE-