IPTABLES + DNS+SMTP+ POP NÃO FUNCIONAM [RESOLVIDO]

hrapytor
(usa Debian)

Enviado em 28/03/2009 - 16:32h

Olá Galera do VOL,

Estou com o seguinte problemão se alguém puder dar alguma dica ficarei muito grato.

Na empresa em que trabalho estou trocando o servidor Proxy de ISA SEVER para SQUID+IPTABLES.

Já implantei o servidor squid está funcionando belezinha para navegação, mas estou com problemas para os micros da rede acessarem smtp e pop externos, e também quando dou um ping em algum endereço externo não me retorna o ip válido, já tentei várias dicas e não consegui resolver. Do servior linux eu consigo pingar sem problemas nenhum, estou usando o dns 200.255.255.66 no resolv.conf.

O cenário está assim:

linux gateway: 10.10.0.8 - squid+iptables
win2k3 dns interno+dhcp+ACTIVE DIRECTORY: 10.10.0.6
linux e-mail e dns externo: 10.10.255.50 # Esse já estava na empresa quando entrei.

Sei que no ISA tinha uma regra que direcionava qualquer requisição externa para o ip 10.10.255.50, mas não sei se preciso fazer e como fazer no linux que estou montando.

Será que pode ser apenas regras do iptables ??
Minhas politicas de iptables estão DROP para INPUT e FORWARD.
E politicas de dns já tentei várias que achei na net e não deu certo.

Espero que vcs possam me ajudar.

Vlw..

dastyler
(usa Fedora)

Enviado em 28/03/2009 - 17:03h

o forward de pacotes para a porta 53 (DNS)no iptables.
deve funcionar..

[]´s

hrapytor
(usa Debian)

Enviado em 28/03/2009 - 20:03h

Obrigado pela dica dastyler,

Usei essa regra:
iptables -A FORWARD -s 0/0 -d 0/0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 0/0 -p tcp --dport 53 -j ACCEPT

Mas mesmo assim não funciona, está certo essa regra ??

dastyler
(usa Fedora)

Enviado em 28/03/2009 - 22:39h

/sbin/iptables -A FORWARD -p udp --dport 53 -j ACCEPT

Usando o DNS nos clientes provido pelo Win2k3 voce tambem nao consegue navegação?
Tente tambem adicionar o endereço do servidor de DNS do linux no gtw Linux....

[]´s

hrapytor
(usa Debian)

Enviado em 29/03/2009 - 14:51h

Usei essa regra sua mas infelizmente não funcinou, o problema com o outlook consegui resolver usandi essas duas regras:
iptables -t nat -A POSTROUTING -s 10.10.0.0/16 (minha rede) -o eth1 (internet) -j MAQUERADE
E depois
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

Com essas regras consegui baixar os e-mail, mas com um porém se eu colocar o dns 10.10.200.251 que não é o correto, pois os que os micros da rede recebem são 10.10.0.6 e 10.10.255.8 e esses só resolvem interno.

Ainda falta a questão do DNS.

hrapytor
(usa Debian)

Enviado em 30/03/2009 - 12:34h

Galera assunto resolvido,

O problema era um dos servidores internos o 10.10.0.6 que é o DNS primário, esse server tinha que ter acesso livre na net sem ter que autenticar, liberei ele direto no iptables do linux ai começou a resolver externo também.


Vlw dastyler pelas dicas.

dastyler
(usa Fedora)

Enviado em 30/03/2009 - 17:37h

só um detalhe que esqueci de postar:
Se voce usa a politica DROP para FORWARD voce tem que liberar explicitamente o que deseja encaminhar através do firewall.
Usando o DNS do win2k3 resolveu a questão, entao. ótimo.

[]´s