[Comm] iptables and dns

Alexey Morsov =?iso-8859-1?q?samurai_=CE=C1_ricom=2Eru?=
Чт Фев 26 19:00:48 MSK 2004 

Sodom wrote:
> Здравствуйте, Alexey.
> 
> Вы писали 26 февраля 2004 г., 18:21:38:
> 
> AM> Привет,
> 
> AM> Наблюдаю странное с правилами iptables
> 
> AM> #!/bin/sh
> AM> # объявим переменные
> AM> FW="/sbin/iptables"
> 
> AM> LAN_NET="192.168.130.0/24"
> AM> LAN_IP="192.168.130.2"
> AM> LAN_ETH="eth0"
> 
> AM> INET_IP="192.168.1.2"
> AM> INET_ETH="eth1"
> 
> AM> # для нашей почты и спота
> AM> MAIL="xxx.xxx.xxx.xxx/xx"
> 
> AM> # локалка
> AM> LH="127.0.0.1"
> AM> PROXY_PORT="3128"
> 
> AM> modprobe ip_nat_ftp
> 
> AM> # все прочистим
> AM> $FW -t nat -F
> AM> $FW -F
> AM> $FW -X
> 
> AM> # введем цепочки для подсчета трафика
> 
> 
> AM> # наведем маскарад
> AM> $FW -t nat -A POSTROUTING -s $LAN_NET -o $INET_ETH -j SNAT 
> AM> --to-source $INET_IP
> 
> AM> # все всем запретить
> AM> $FW -P INPUT DROP
> AM> $FW -P FORWARD DROP
> AM> $FW -P OUTPUT ACCEPT
> 
> AM> # для INPUT
> AM> #$FW -A INPUT -p tcp -s $LAN_NET -d $LAN_IP -j TCP_FROM_LAN
> AM> $FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> AM> $FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT
> AM> $FW -A INPUT -i $INET_ETH -d $INET_IP -j ACCEPT
> 
> AM> # для FORWARD
> AM> $FW -A FORWARD -s $LAN_NET -i $LAN_ETH -o $LAN_ETH -j ACCEPT
> AM> $FW -A FORWARD -s $MAIL -i $LAN_ETH -o $LAN_ETH -j ACCEPT
> 
> AM> работает все как надо, а через некоторое время отрубаеться 
> AM> dns-resolving на виндовой машине (которая ходит через этот гейт)
> 
> AM> т.е. на свой mail набирая его ip я попасть могу - а вот набирая 
> AM> его name - не могу.. причем случаеться именно как-т онеожиданно - 
> AM> работал/перестало/заработало
> 
> AM> _______________________________________________
> AM> Community mailing list
> AM> Community на altlinux.ru
> AM> http://www.altlinux.ru/mailman/listinfo/community
> 
> Поставьте на шлюз кэширующий днс - и будет Вам счастье )
> да и работать быстрей будет.
> 
имеете ввиду caching-nameserver ?
или все-таки bind?

и кстати - один раз не с того ни с сего linux начал дропать чего 
не надо (так например не могу исполнить по ssh iptabels -L -v , а 
скажем mc и vim все работает нормально)

Подробная информация о списке рассылки community