Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber si
alguien de uds me da un norte ya que le he buscado las patas al gato y no los
encuentro, esta vez se trata de que tengo una caja con debian y un segmento de
ips publicas /23 y de la lan se trata de un segmento 10/8
El problema se trata de que mi lan (10.0.0.0/8 <-- eth1 ) tenga internet (eth0)
usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos segmentos de
ips homologadas /24 o una /23 y quiero que mi LAN al tratar de salir a internet
tenga obviamente una ip homologada, obviamente eso ya lo tengo realizado, aqui
el detalle es que no puedo realizar consultas de DNS, unicamente veo las ips de
google o yahoo usando ping, y las consultas via dns (nslookup o dig) no me esta
funcionando...
Anexo mi script para ver si alguien me dice en que estoy fallando
NET="eth5"
LAN_IN="eth3"
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
#
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables --table nat --append POSTROUTING --out-interface $NET -j MASQUERADE
iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source
201.111.222.254-201.111.223.254
iptables --append FORWARD -j ACCEPT
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT
iptables -A INPUT -j DROP
Con este script yo puedo conectarme a servers usando la ip, pero si uso el
nombre del server, o hago una consulta via dns, este simplemente no lo realiza
porque no esta saliendo sus peticiones.. la verdad no tengo idea de donde rayos
colocar la regla
Espero su amable ayuda y gracias por todo...
Saludos cordiales.
--
Lic. Domingo Varela Yahuitl.
