Actualmente en nuestra empresa estamos montando una DMZ donde estara ubicado
un Relay de Correo y el DNS publico,
-Mi duda es la siguiente,
los DNS internos (en la LAN), a quien le haría forward a mi DNS publico o a
los de etecsa?
A tu o tus DNS públicos!
-Tengo un registro mx en el publico, que no esta
siendo encontrado cuando vienen a consultarme, y cuando realizo un nslookup
al publico con set ty=mx me muestra el registro bien, pero cuando lo hago
desde afuera no lo muestra, que podrá ser?
Si los servidores están en una DMZ, es por que tienen un Firewall
delante donde haces NAT para adentro (DNAT) y para afuera (SNAT) Si
desde fuera de tu red, no es encontrado tu registro MX y desde dentro
si, es de suponer que tu DNS está bien configurado, pero que entonces el
problema está en tu firewall, asumiendo que no sea un problema de rutas
y que tu red pública no sea alcanzable desde algún lugar!!
Tienes que asegurarte que las reglas del Firewall para permitir que las
consultas DNS desde el exterior lleguen a tu DNS público están bien. Si
usas iptables, tienes que trabajar con las tablas NAT y Filter,
específicamente:
Tienes que poner en la tabla NAT cadena prerouting, la respectiva regla
que haga el DNAT de todos los paquetes que vengan desde internet hacia
la IP Pública que tengas declarada en tu DNS público como servidor DNS,
y que sea una conexión udp al puerto 53 y especificar la ip privada en
la DMZ donde tienes ese servidor DNS público.
Además de esto tienes que poner en la tabla Filter, cadena forward la
respectiva regla para permitir el paso de los paquetes udp que vengan
desde el exterior hacia el puerto 53 de la ip privada de tu servidor DNS
público ubicado en la DMZ.
Otra cosa que no se te puede olvidar es tener habilitado el ip_forward
entre las interfaces de red, sino no te va a pinchar! Cuidado y no sea
eso lo que te está pasando.
Todo eso, es para garantizar las conexiones desde el exterior al los
servicios en la DMZ. Para que tu DNS público pueda salir y consultar los
DNS de ETECSA, tienes que poner en la tabla NAT pero ahora en la cadena
postrouting la respectiva regla que permita hacerle SNAT a todos los
paquetes UDP que salgan desde tu DNS público en la DMZ y que el destino
sea los servidores de ETECSA.
Y también en la tabla Filter, cadena forward debes poner una regla
permitiendo el paso de esos paquetes UDP al puerto 53 de los servidores
de ETECSA con origen en la IP privada de tu DNS público en la DMZ.
No se si la explicación te resulta enredada, pero así es como debe ser
para que te funcione, no se si usas Shorewall, yo nunca lo use! Pero es
iptables igual.
Saludos...
PD: Debian 7,Shorewall,BIND9
Saludos
Ing. Rodnier Lázaro González Londres
--
_______________________________________
Ing. Eduardo R. Barrera Pérez
Administrador Nodo CAP
Pinar del Río
Email: ebpr...@yahoo.es
Jabber: eb...@jabber.org
Phone: 0148-728131
_ _____ ___
___| |__ _ __ _ __ ___|___ ( _ )
/ _ \ '_ \| '_ \| '__|_ / / // _ \
| __/ |_) | |_) | | / / / /| (_) |
\___|_.__/| .__/|_| /___|/_/ \___/
|_|
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
