[Comm] iptables and dns

Чт Фев 26 18:27:49 MSK 2004

Здравствуйте, Alexey.

Вы писали 26 февраля 2004 г., 18:21:38:

AM> Привет,

AM> Наблюдаю странное с правилами iptables

AM> #!/bin/sh
AM> # объявим переменные
AM> FW="/sbin/iptables"

AM> LAN_NET="192.168.130.0/24"
AM> LAN_IP="192.168.130.2"
AM> LAN_ETH="eth0"

AM> INET_IP="192.168.1.2"
AM> INET_ETH="eth1"

AM> # для нашей почты и спота
AM> MAIL="xxx.xxx.xxx.xxx/xx"

AM> # локалка
AM> LH="127.0.0.1"
AM> PROXY_PORT="3128"

AM> modprobe ip_nat_ftp

AM> # все прочистим
AM> $FW -t nat -F
AM> $FW -F
AM> $FW -X

AM> # введем цепочки для подсчета трафика

AM> # наведем маскарад
AM> $FW -t nat -A POSTROUTING -s $LAN_NET -o $INET_ETH -j SNAT 
AM> --to-source $INET_IP

AM> # все всем запретить
AM> $FW -P INPUT DROP
AM> $FW -P FORWARD DROP
AM> $FW -P OUTPUT ACCEPT

AM> # для INPUT
AM> #$FW -A INPUT -p tcp -s $LAN_NET -d $LAN_IP -j TCP_FROM_LAN
AM> $FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
AM> $FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT
AM> $FW -A INPUT -i $INET_ETH -d $INET_IP -j ACCEPT

AM> # для FORWARD
AM> $FW -A FORWARD -s $LAN_NET -i $LAN_ETH -o $LAN_ETH -j ACCEPT
AM> $FW -A FORWARD -s $MAIL -i $LAN_ETH -o $LAN_ETH -j ACCEPT

AM> работает все как надо, а через некоторое время отрубаеться 
AM> dns-resolving на виндовой машине (которая ходит через этот гейт)

AM> т.е. на свой mail набирая его ip я попасть могу - а вот набирая 
AM> его name - не могу.. причем случаеться именно как-т онеожиданно - 
AM> работал/перестало/заработало

AM> _______________________________________________
AM> Community mailing list
AM> Community на altlinux.ru
AM> http://www.altlinux.ru/mailman/listinfo/community

Поставьте на шлюз кэширующий днс - и будет Вам счастье )
да и работать быстрей будет.

-- 
С уважением,
 Sodom                          mailto:sodom на sodom.ru