Blokada po

kilofmar · Post autor: **kilofmar** » 15 listopada 2008, 11:28

Mam taka sytuacje.

Schemat:
http://pierwszelozdwola.ksiezyc.pl/schemat.JPG

Po puszczeniu pinga na adres 83.83.83.83 z komputera w sieci lokalnej nie dochodzą do Debiana, a natomiast po pingowaniu tego ip z Debiana już powracają pakiety.

Mam w regułach akceptowanie połączeń nawiązanych ale to nie pomaga:

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

A zależy mi na tym bo na Debianie stoi strona i używam no-ip z dyndnsa, a po wpisaniu adresu hosta w sieci lokalnej nie łączy mnie ze stroną.

Utumno · Post autor: **Utumno** » 15 listopada 2008, 12:06

Jezeli chcesz, zeby twoja domena DDNS byla widziana z sieci lokalnej, to mozna to latwiej zrobic:

1) Jezeli siec lokalna sklada sie z kilku kompow i nie zmieniaja sie one zbyt czesto, to po prostu najlepiej jest wpisac '192.168.1.250 twoja.domena.no-ip.org' do

a) na Linuxie w /etc/hosts
b) na Windows 2000 w c:\WINNT\system32\drivers\etc
c) na Windows XP w c:\WINDOWS\system32\drivers\etc

2) Jezeli natomiast siec lokalna jest wieksza, to najlepiej skonfigurowac server DNS na Debianie i resolvowac ta domene no-ip do 192.168.1.250

kilofmar · Post autor: **kilofmar** » 15 listopada 2008, 17:24

Dziękuję.
Binda zainstalowałem ale nie wiem za bardzo jak mam się zabrać za to resolvowanie. Czy coś muszę dopisać do pliku resolv.conf?

fair · Post autor: **fair** » 16 listopada 2008, 21:49

Do /etc/resolv.conf dopisz ip DNSa neo:

Kod: Zaznacz cały

194.204.159.1
194.204.152.34

Co do binda to w configu /etc/bind/named.conf dopisz na samym początku:

Kod: Zaznacz cały

acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
allow-query {"moja_siec";};
forwarders { 194.204.159.1; };

kilofmar · Post autor: **kilofmar** » 23 listopada 2008, 10:37

Wpisałem tak jak sugerowaliście ale niestety nie działa, zmieniłem tylko dns bo takie są dla mojego regionu.
Oto mój plik named.conf:

Kod: Zaznacz cały

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind/README.Debian for information on the 
// structure of BIND configuration files in Debian for BIND versions 8.2.1 
// and later, *BEFORE* you customize this configuration file.
//

acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
allow-query {"moja_siec";};
forwarders { 194.204.152.34; }; 


include "/etc/bind/named.conf.options";

// reduce log verbosity on issues outside our control
logging {
	category lame-servers { null; };
	category cname { null; };
};

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};



// add local zone definitions here
include "/etc/bind/named.conf.local";

zulowski · Post autor: **zulowski** » 26 listopada 2008, 18:35

A czy przypadkiem zamiast:

Kod: Zaznacz cały

acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};

nie powinno być:

Kod: Zaznacz cały

ack "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};

ack zamiast acl?

fair · Post autor: **fair** » 26 listopada 2008, 19:29

Dlaczego acl?
Nie wiem skąd ci przyszedł pomysł z ack w bindzie?

Co do problemu z połączeniami to ostatnim moim pomysłem jest:

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport 53 -s 10.0.1.0/24 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -s 10.0.1.0/24 -j ACCEPT

Blokada po

Blokada połączeń powracajacych