estos son los archivos por asi os facilito la cosa (haber si hay alguien que lo entienda,debian lenny):
hago un netstat -tupan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1898/mysqld
tcp 0 0 0.0.0.0:38765 0.0.0.0:* LISTEN 1496/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1485/portmap
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 2269/vsftpd
tcp 0 0 192.168.2.151:53 0.0.0.0:* LISTEN 1723/named
tcp 0 0 192.168.1.151:53 0.0.0.0:* LISTEN 1723/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1723/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1821/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2249/exim4
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1723/named
tcp6 0 0 :::80 :::* LISTEN 2306/apache2
tcp6 0 0 :::53 :::* LISTEN 1723/named
tcp6 0 0 :::22 :::* LISTEN 1821/sshd
tcp6 0 0 ::1:953 :::* LISTEN 1723/named
udp 0 0 0.0.0.0:34690 0.0.0.0:* 1496/rpc.statd
udp 0 0 192.168.2.151:53 0.0.0.0:* 1723/named
udp 0 0 192.168.1.151:53 0.0.0.0:* 1723/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 1723/named
udp 0 0 0.0.0.0:824 0.0.0.0:* 1496/rpc.statd
udp 0 0 0.0.0.0:111 0.0.0.0:* 1485/portmap
udp6 0 0 :::53 :::* 1723/named
no veo ningun problema con el cortafuegos, porque no me informa de nada, ademas lo he probado desactivandolo, asi que esto lo descarto:
#!/bin/sh
## SCRIPT DE IPTABLES v1.4.3.2
## Fecha del script 22/04/2010
## Hecho por Sergio para los server
###########################
# Declaracion de variables
###########################
INORIGEN="0.0.0.0/0.0.0.0"
OUTORIGEN="0.0.0.0/0.0.0.0"
INDESTINO="0.0.0.0/0.0.0.0"
OUTDESTINO="0.0.0.0/0.0.0.0"
INADDR="192.168.1.2"
IFACE1="lo"
IFACE2="eth0"
echo "Aplicando reglas de Firewall"
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Todo el trafico syn
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
iptables -A INPUT -m state --state INVALID -j DROP
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -o lo -j ACCEPT
## sube las cargas pero muchos www buena señal
#iptables -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable
## la que mejor va
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
iptables -A syn-flood -j LOG --log-prefix "SYN flood: "
iptables -A syn-flood -j DROP
## Descartar paquetes mal formados
iptables -N PKT_FAKE
iptables -A PKT_FAKE -m state --state INVALID -j DROP
iptables -A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
iptables -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
iptables -A PKT_FAKE -f -j DROP
iptables -A PKT_FAKE -j RETURN
## Requiere modulo "recent"
#iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
#iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP
## Contar paquetes syn
#iptables -I INPUT -p tcp --syn -m recent --set
#iptables -I INPUT -p tcp --syn -m recent --update --seconds 10 --hitcount 30 -j DROP
## FTP (logged) y FTP-DATA
iptables -A INPUT -s $INADDR -i $IFACE2 -p tcp --dport 21 -m limit --limit 5/m -j LOG --log-prefix "conexion ftp: "
iptables -A INPUT -s $INADDR -i $IFACE2 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s $INADDR -i $IFACE2 -p tcp --dport 20 -j ACCEPT
## Conexiones SSH - En el puerto 22,registro,bloquear 1º intento de conexion rechazado(scanner puerto),3 conexiones por minuto(ataques diccionario)
iptables -A INPUT -s $INADDR -i $IFACE2 -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Conexion ssh: "
iptables -A INPUT -s $INADDR -i $IFACE2 -p tcp --dport 22 -m limit --limit 1/minute -m state --state NEW -j DROP
iptables -A INPUT -s $INADDR -i $IFACE2 -p tcp --dport 22 -m limit --limit 3/minute -m state --state NEW -j ACCEPT
## Conexiones DNS
iptables -A INPUT -s $INORIGEN -i $IFACE2 -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -s $INORIGEN -i $IFACE2 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d $OUTDESTINO -o $IFACE2 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -d $OUTDESTINO -o $IFACE2 -p udp --dport 53 -j ACCEPT
##
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
## Ftp pasivo
iptables -A INPUT -s $INADDR -p tcp --dport 40100:40150 -j ACCEPT
ahora va el bind9, el principal problema
/etc/bind/named.conf.optionsoptions {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 208.67.222.222;
// };
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
$TTL 3D
@ IN SOA ns1.gatovalibre.local. hostmaster.gatovalibre.local. (
20100625 ; serial
8H ; refrescamiento, en segundos
2H ; reentrar, segundos
4W ; expira, segundos
1D ) ; minimo, segundos
;
TXT "Gatovalibre.local, Servicio de DNS"
NS ns1 ; Direccion Inet del servidor de dominio
MX 10 mail ; Exchanger de Mail primario
localhost A 127.0.0.1
ns1 A 192.168.1.151
www CNAME ns1
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "gatovalibre.local" {
type master;
file "/etc/bind/zones/master_gatovalibre.local";
};
ahora hago: /etc/init.d/bind9 restart y me salta
stopping domain name service...: bind9 waiting for pid 2472 to die
starting domain name service...: bind9
lugo hago: ping ns1.gatovalibre.local y me sale
ping:unknown host ns1.gatovalibre.local si le hago a google va perfecto.
ok, mientras hiiba redactando todo esto, llegue a la conclusion casi definitiva de porke no tira el bind9, y era el /etc/resolv.conf
que le tenia que modificarlo y añadir estas lineas:
search gatovalibre.local
nameserver 127.0.0.1
me podeis dar consejos sobre como organizar esto un poco mejor ya que esta el /etc/hosts
segun lei por algun lado decia que primero cargaba uno y luego el otro ( /etc/hosts , /etc/resolv.conf)
me podeis ayudar un poco para tener un bind bien organizado y asi ser una persona de provecho para el dia de mañana
poco a poco se hizo roma
Autor
En línea
