Gracias por el tip...intentare abrir el tcp/udp con la bandera -m state del dns y les comento.
Saludos Enviado desde mi dispositivo android. -----Original Message----- From: fernando sainz <fernandojose.sa...@gmail.com> To: "debian-user-spanish@lists.debian.org" <debian-user-spanish@lists.debian.org> Sent: vie, 10 oct 2014 2:30 Subject: Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar El día 10 de octubre de 2014, 5:07, Lic. Domingo Varela Yahuitl <do...@hotmail.com> escribió: > > Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber > si alguien de uds me da un norte ya que le he buscado las patas al gato y no > los encuentro, esta vez se trata de que tengo una caja con debian y un > segmento de ips publicas /23 y de la lan se trata de un segmento 10/8 > > El problema se trata de que mi lan (10.0.0.0/8 <-- eth1 ) tenga internet > (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos > segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de > salir a internet tenga obviamente una ip homologada, obviamente eso ya lo > tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS, > unicamente veo las ips de google o yahoo usando ping, y las consultas via > dns (nslookup o dig) no me esta funcionando... > > > Anexo mi script para ver si alguien me dice en que estoy fallando > > > NET="eth5" > LAN_IN="eth3" > > iptables -F > iptables -X > iptables -t nat -F > iptables -t nat -X > iptables -t mangle -F > iptables -t mangle -X > > # > modprobe ip_conntrack > modprobe ip_conntrack_ftp > modprobe ip_conntrack_irc > modprobe ip_nat_ftp > > echo 1 > /proc/sys/net/ipv4/ip_forward > > iptables -P INPUT DROP > iptables -P OUTPUT ACCEPT > > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT > > #iptables --table nat --append POSTROUTING --out-interface $NET -j > MASQUERADE > iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source > 201.111.222.254-201.111.223.254 > > iptables --append FORWARD -j ACCEPT > > iptables -A INPUT -i $LAN_IN -j ACCEPT > iptables -A OUTPUT -o $LAN_IN -j ACCEPT > iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT > > iptables -A INPUT -j DROP > > > Con este script yo puedo conectarme a servers usando la ip, pero si uso el > nombre del server, o hago una consulta via dns, este simplemente no lo > realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de > donde rayos colocar la regla > > Espero su amable ayuda y gracias por todo... > > > > > > Saludos cordiales. > -- > Lic. Domingo Varela Yahuitl. > No se mucho de iptables, pero mira a ver si estás bloqueando el tráfico udp. http://stackoverflow.com/questions/11064248/block-all-udp-traffic-except-dns-using-iptables S2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAGw=rHinkYcB=aR5k_LO=p0b3zagzhfcff9xzf2f8jo7ies...@mail.gmail.com
