Strona 1 z 1
Blokada połączeń powracajacych
: 15 listopada 2008, 11:28
autor: kilofmar
Mam taka sytuacje.
Schemat:
http://pierwszelozdwola.ksiezyc.pl/schemat.JPG
Po puszczeniu pinga na adres 83.83.83.83 z komputera w sieci lokalnej nie dochodzą do Debiana, a natomiast po pingowaniu tego ip z Debiana już powracają pakiety.
Mam w regułach akceptowanie połączeń nawiązanych ale to nie pomaga:
Kod: Zaznacz cały
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
A zależy mi na tym bo na Debianie stoi strona i używam no-ip z dyndnsa, a po wpisaniu adresu hosta w sieci lokalnej nie łączy mnie ze stroną.
: 15 listopada 2008, 12:06
autor: Utumno
Jezeli chcesz, zeby twoja domena DDNS byla widziana z sieci lokalnej, to mozna to latwiej zrobic:
1) Jezeli siec lokalna sklada sie z kilku kompow i nie zmieniaja sie one zbyt czesto, to po prostu najlepiej jest wpisac '192.168.1.250 twoja.domena.no-ip.org' do
a) na Linuxie w /etc/hosts
b) na Windows 2000 w c:\WINNT\system32\drivers\etc
c) na Windows XP w c:\WINDOWS\system32\drivers\etc
2) Jezeli natomiast siec lokalna jest wieksza, to najlepiej skonfigurowac server DNS na Debianie i resolvowac ta domene no-ip do 192.168.1.250
: 15 listopada 2008, 17:24
autor: kilofmar
Dziękuję.
Binda zainstalowałem ale nie wiem za bardzo jak mam się zabrać za to resolvowanie. Czy coś muszę dopisać do pliku resolv.conf?
: 16 listopada 2008, 21:49
autor: fair
Do /etc/resolv.conf dopisz ip DNSa neo:
Co do binda to w configu /etc/bind/named.conf dopisz na samym początku:
Kod: Zaznacz cały
acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
allow-query {"moja_siec";};
forwarders { 194.204.159.1; };
: 23 listopada 2008, 10:37
autor: kilofmar
Wpisałem tak jak sugerowaliście ale niestety nie działa, zmieniłem tylko dns bo takie są dla mojego regionu.
Oto mój plik named.conf:
Kod: Zaznacz cały
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind/README.Debian for information on the
// structure of BIND configuration files in Debian for BIND versions 8.2.1
// and later, *BEFORE* you customize this configuration file.
//
acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
allow-query {"moja_siec";};
forwarders { 194.204.152.34; };
include "/etc/bind/named.conf.options";
// reduce log verbosity on issues outside our control
logging {
category lame-servers { null; };
category cname { null; };
};
// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
// add local zone definitions here
include "/etc/bind/named.conf.local";
: 26 listopada 2008, 18:35
autor: zulowski
A czy przypadkiem zamiast:
Kod: Zaznacz cały
acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
nie powinno być:
Kod: Zaznacz cały
ack "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
ack zamiast acl?
: 26 listopada 2008, 19:29
autor: fair
Dlaczego acl?
Nie wiem skąd ci przyszedł pomysł z ack w bindzie?
Co do problemu z połączeniami to ostatnim moim pomysłem jest:
Kod: Zaznacz cały
iptables -A INPUT -p tcp --dport 53 -s 10.0.1.0/24 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -s 10.0.1.0/24 -j ACCEPT
