Страница 1 из 1
сделать редирект ipfw
Добавлено: 2007-03-01 10:51:12
votuanr
завелась какаято гадость, которая подменяет ip днс на хостах на другой
подробнее
http://www.yandex.ru/yandsearch?text=19 ... &stype=www
Код: Выделить всё
Feb 28 16:31:44 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0
Feb 28 16:31:47 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0
Feb 28 16:31:51 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0
Feb 28 16:31:59 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0
как форвардить такие запросы на мой внутренний dns? немогу разобраться
Добавлено: 2007-03-01 10:59:05
alex3
Код: Выделить всё
{fwcmd} add fwd IP_DNS_local,53 udp from 192.168.111.60 to 194.67.57.104:53 in via xl0
Добавлено: 2007-03-01 11:31:59
dikens3
Уверен, что это запрос, а не просто тупой пакет?
Зачем его на свой DNS то тянуть?
Добавлено: 2007-03-01 12:32:07
votuanr
c чего от должен быть пакетом-то? он же замняет все dns на хосте на себя. В сети с win-доменом понятно к чему приводит.
а как быть с этим?
Код: Выделить всё
The fwd action does not change the contents of the packet at all.
In particular, the destination address remains unmodified, so
packets forwarded to another system will usually be rejected by
that system unless there is a matching rule on that system to
capture them.
и похоже не работает....
Код: Выделить всё
Mar 1 11:39:46 gw kernel: ipfw: 10666 Forward to 192.168.111.4:53 UDP 192.168.111.3:27738 194.67.57.104:53 in via xl0
Mar 1 11:39:46 gw kernel: ipfw: 3800 Accept UDP __GW_IP___:27738 194.67.57.104:53 out via dc0
Mar 1 11:39:46 gw kernel: ipfw: 4784 Accept UDP 194.67.57.104:53 192.168.111.3:27738 in via dc0
Mar 1 11:39:46 gw kernel: ipfw: 4783 Accept UDP 194.67.57.104:53 192.168.111.3:27738 out via xl0
Код: Выделить всё
root@gw# ipfw show 3800 4784 4783
03800 3866 241835 allow log ip from __GW_IP___ to any out xmit dc0
04784 10 1953 allow log udp from any 53 to any in via dc0
04783 10 1953 allow log udp from any 53 to any out via xl0
Добавлено: 2007-03-01 12:51:10
dikens3
Так, давай немного определимся.
1. Ты форвардишь пакет, но адрес назначения остался тот же, так?
С какой радости его возьмётся обрабытывать твой DNS, если этот пакет не предназначен для него?
Чего ты хочешь добиться? Чтобы работал DNS у клиентов? Тогда лечить нужно, а не изобретать велосипед.
2. Firewall должен блокировать все ненужные запросы. В данном случае правила примут вид.
Код: Выделить всё
04784 10 1953 allow log udp from DNS_СЕРВЕРА_ПРОВА 53 to МОЯ_СЕТЬ in via dc0
04783 10 1953 allow log udp from DNS_СЕРВЕРА_ПРОВА 53 to МОЯ_СЕТЬ out via xl0
Всё остальное в лес.
Есть ли кешир. DNS?
Добавлено: 2007-03-01 13:08:34
votuanr
dikens3 писал(а):Так, давай немного определимся.
1. Ты форвардишь пакет, но адрес назначения остался тот же, так?
С какой радости его возьмётся обрабытывать твой DNS, если этот пакет не предназначен для него?
именно это и написано в мане. и именно поэтому не работает, это понятно было с самого начала.
dikens3 писал(а):
Чего ты хочешь добиться? Чтобы работал DNS у клиентов? Тогда лечить нужно, а не изобретать велосипед.
потрать 2 минуты и пробегись по ссылкам из первого сообщения
dikens3 писал(а):
Есть ли кешир. DNS?
есть.
обобщим. я хочу, чтобы все dns запросы из локальной сети (от клиентов), которые идут к внешним dns серверам заворачивались на мой внутренний кеширующий dns. типа ната (не нат. типа ната)
можно конечно заставить dns на шлюзе слушать этот внешний ip и все, но както ненравится мне это
Добавлено: 2007-03-01 13:37:55
dikens3
Тогда твой DNS должен уметь работать как transparent.
Добавлено: 2007-03-01 13:39:41
dikens3
votuanr писал(а):
потрать 2 минуты и пробегись по ссылкам из первого сообщения
И?
Format C: лечит от всего. Гарантирую.