Re: [Gutl-l] Duda sobre DNS

2014-10-06 Por tema låzaro 
WTF! un servicio público en una DMZ


Thread name: "[Gutl-l] Duda sobre DNS" 
Mail number: 1 
Date: Thu, Oct 02, 2014 
In reply to: Rodnier 
>
> Actualmente en nuestra empresa estamos montando una DMZ donde estara ubicado 
> 
> un Relay de Correo y el DNS publico, 
> -Mi duda es la siguiente, 
> los DNS internos (en la LAN), a quien le haría forward a mi DNS publico o a 
> 
> los de etecsa? 
> -Tengo un registro mx en el publico, que no esta 
> siendo encontrado cuando vienen a consultarme, y cuando realizo un nslookup 
> al publico con set ty=mx me muestra el registro bien, pero cuando lo hago 
> desde afuera no lo muestra, que podrá ser? 
>  
> PD: Debian 7,Shorewall,BIND9
> 
> Saludos
> Ing. Rodnier Lázaro González Londres
> 
> -- 
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que está limpio.
> 
>  próxima parte 
> Se ha borrado un adjunto en formato HTML...
> URL: 
> <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20141002/7337b3f9/attachment.html>
> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Duda sobre DNS (Ing. Eduardo R. Barrera Pérez)

2014-10-03 Por tema Rodnier 
Ok, revisare, todos los puntos que planteas, hay algunos que yo se que estan 
puestos como dices, otros que tengo que ver

Saludos y Muchas Gracias a todos

Saludos
Ing. Rodnier Lázaro González Londres

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

 próxima parte 
Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Duda sobre DNS

2014-10-03 Por tema Juan Carlos 

El 03/10/14 10:49, Rodnier escribió:

Si, tengo el puerto abierto 53 por UDP y TCP,
Funciona  solo como DNS autoritario y no recursivo,
Ahora para probar tengo el DNS en el Firewall (no esta en la DMZ, en un
fututro si)

Actualmente tengo montado un ISA Server, que tambien tiene el DNS publico, y
pincha bien, estamos migrando y el DNS, se ha puesto farruco, tiene los
mismo registros y todo

Saludos
Ing. Rodnier Lázaro González Londres


mira te voy a enviar un dns para que lo configures por ese que está ok.

--
*Juan Carlos Hernández Gallardo
*Administrador de Red
*ETE Ciego de Ávila


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Duda sobre DNS

2014-10-03 Por tema Rodnier 
Si, tengo el puerto abierto 53 por UDP y TCP,
Funciona  solo como DNS autoritario y no recursivo,
Ahora para probar tengo el DNS en el Firewall (no esta en la DMZ, en un 
fututro si)

Actualmente tengo montado un ISA Server, que tambien tiene el DNS publico, y 
pincha bien, estamos migrando y el DNS, se ha puesto farruco, tiene los 
mismo registros y todo

Saludos
Ing. Rodnier Lázaro González Londres

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

 próxima parte 
Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Duda sobre DNS

2014-10-03 Por tema Ing. Eduardo R. Barrera Pérez 

Actualmente en nuestra empresa estamos montando una DMZ donde estara ubicado

un Relay de Correo y el DNS publico,
-Mi duda es la siguiente,
los DNS internos (en la LAN), a quien le haría forward a mi DNS publico o a
los de etecsa?


A tu o tus DNS públicos!


-Tengo un registro mx en el publico, que no esta
siendo encontrado cuando vienen a consultarme, y cuando realizo un nslookup
al publico con set ty=mx me muestra el registro bien, pero cuando lo hago
desde afuera no lo muestra, que podrá ser?


Si los servidores están en una DMZ, es por que tienen un Firewall 
delante donde haces NAT para adentro (DNAT) y para afuera (SNAT) Si 
desde fuera de tu red, no es encontrado tu registro MX y desde dentro 
si, es de suponer que tu DNS está bien configurado, pero que entonces el 
problema está en tu firewall, asumiendo que no sea un problema de rutas 
y que tu red pública no sea alcanzable desde algún lugar!!


Tienes que asegurarte que las reglas del Firewall para permitir que las 
consultas DNS desde el exterior lleguen a tu DNS público están bien. Si 
usas iptables, tienes que trabajar con las tablas NAT y Filter, 
específicamente:


Tienes que poner en la tabla NAT cadena prerouting, la respectiva regla 
que haga el DNAT de todos los paquetes que vengan desde internet hacia 
la IP Pública que tengas declarada en tu DNS público como servidor DNS, 
y que sea una conexión udp al puerto 53 y especificar la ip privada en 
la DMZ donde tienes ese servidor DNS público.


Además de esto tienes que poner en la tabla Filter, cadena forward la 
respectiva regla para permitir el paso de los paquetes udp que vengan 
desde el exterior hacia el puerto 53 de la ip privada de tu servidor DNS 
público ubicado en la DMZ.


Otra cosa que no se te puede olvidar es tener habilitado el ip_forward 
entre las interfaces de red, sino no te va a pinchar! Cuidado y no sea 
eso lo que te está pasando.


Todo eso, es para garantizar las conexiones desde el exterior al los 
servicios en la DMZ. Para que tu DNS público pueda salir y consultar los 
DNS de ETECSA, tienes que poner en la tabla NAT pero ahora en la cadena 
postrouting la respectiva regla que permita hacerle SNAT a todos los 
paquetes UDP que salgan desde tu DNS público en la DMZ y que el destino 
sea los servidores de ETECSA.


Y también en la tabla Filter, cadena forward debes poner una regla 
permitiendo el paso de esos paquetes UDP al puerto 53 de los servidores 
de ETECSA con origen en la IP privada de tu DNS público en la DMZ.


No se si la explicación te resulta enredada, pero así es como debe ser 
para que te funcione, no se si usas Shorewall, yo nunca lo use! Pero es 
iptables igual.



Saludos...



PD: Debian 7,Shorewall,BIND9

Saludos
Ing. Rodnier Lázaro González Londres



--
___
Ing. Eduardo R. Barrera Pérez
Administrador Nodo CAP
Pinar del Rí­o
Email:  ebpr...@yahoo.es
Jabber: eb...@jabber.org
Phone:  0148-728131
  __ ___
  ___| |__  _ __  _ __ ___|___  ( _ )
 / _ \ '_ \| '_ \| '__|_  /  / // _ \
|  __/ |_) | |_) | |   / /  / /| (_) |
 \___|_.__/| .__/|_|  /___|/_/  \___/
   |_|

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Duda sobre DNS

2014-10-02 Por tema Hugo Florentino 

On Thu, 02 Oct 2014 15:49:08 -0400, Juan Carlos wrote:

bueno le harian forward al publico tuyo y este a su vez a los de
etecsa, lo otro revisa que en el shorewall tengas open el puerto 53
por tcp y udp!!


Eso tambien depende de si el DNS público funciona como forwarder o solo 
como DNS autoritario y no recursivo, en tal caso deberías usar 
directamente los públicos de Etecsa.


En cuanto a lo otro, si tus registros están en la DMZ obviamente tienes 
que permitir el acceso desde el exterior, lo cual implica hacer NAT, a 
menos que tu nameserver tuviera una ip pública (algo mas bien absurdo en 
una DMZ)


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Duda sobre DNS

2014-10-02 Por tema Juan Carlos 

El 02/10/14 16:20, Rodnier escribió:

Actualmente en nuestra empresa estamos montando una DMZ donde estara ubicado

un Relay de Correo y el DNS publico,
-Mi duda es la siguiente,
los DNS internos (en la LAN), a quien le haría forward a mi DNS publico o a

los de etecsa?
-Tengo un registro mx en el publico, que no esta
siendo encontrado cuando vienen a consultarme, y cuando realizo un nslookup
al publico con set ty=mx me muestra el registro bien, pero cuando lo hago
desde afuera no lo muestra, que podrá ser?
  
PD: Debian 7,Shorewall,BIND9


Saludos
Ing. Rodnier Lázaro González Londres

bueno le harian forward al publico tuyo y este a su vez a los de etecsa, 
lo otro revisa que en el shorewall tengas open el puerto 53 por tcp y udp!!


--
*Juan Carlos Hernández Gallardo
*Administrador de Red
*ETE Ciego de Ávila


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

[Gutl-l] Duda sobre DNS

2014-10-02 Por tema Rodnier 
Actualmente en nuestra empresa estamos montando una DMZ donde estara ubicado 

un Relay de Correo y el DNS publico, 
-Mi duda es la siguiente, 
los DNS internos (en la LAN), a quien le haría forward a mi DNS publico o a 

los de etecsa? 
-Tengo un registro mx en el publico, que no esta 
siendo encontrado cuando vienen a consultarme, y cuando realizo un nslookup 
al publico con set ty=mx me muestra el registro bien, pero cuando lo hago 
desde afuera no lo muestra, que podrá ser? 
 
PD: Debian 7,Shorewall,BIND9

Saludos
Ing. Rodnier Lázaro González Londres

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

 próxima parte 
Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l