сервер не видит dns имена

[BigBrother]

Достался в наследство шлюз

Код: Выделить всё

# cat /etc/gentoo-release
Gentoo Base System release 1.12.9

Код: Выделить всё

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:03:47:63:AC:C8
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:40789423 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24362311 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:358177713 (341.5 Mb)  TX bytes:187337593 (178.6 Mb)
          Interrupt:10

eth1      Link encap:Ethernet  HWaddr 00:0E:2E:B9:E1:B3
          inet addr:192.168.x.x  Bcast:192.168.x.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:25576584 errors:1 dropped:0 overruns:0 frame:0
          TX packets:39681692 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:145531482 (138.7 Mb)  TX bytes:4288752006 (4090.0 Mb)
          Interrupt:6 Base address:0xcc00

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:IP P-t-P:IP  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1759617 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1921837 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1022509376 (975.1 Mb)  TX bytes:1536147604 (1464.9 Mb)

Этот шлюз раздает инет в локльной сети. Проблема в том, что он не распознает днс имена

Код: Выделить всё

# nslookup ya.ru
-bash: nslookup: command not found

Попытки пинговать кого-то по днс не дают результат.
Шлюз тормозит когда подключаюсь к нему по ssh и вывод iptables -L происходит неимоверно долго.
Кстати, почему есть трафик для eth0?

Код: Выделить всё

RX bytes:358177713 (341.5 Mb)  TX bytes:187337593 (178.6 Mb)

Код: Выделить всё

# cat /etc/resolv.conf
# Generated by dhclient for interface eth0
#nameserver IP
#nameserver IP
nameserver 8.8.8.8

Код: Выделить всё

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=54 time=65.4 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=54 time=64.2 ms

Подскажите куда смотреть для решения проблемы с распознаванием ДНС имен.

[Kopilov]

-bash: nslookup: command not found

nslookup находится в пакете net-dns/bind-tools

Подскажите куда смотреть для решения проблемы с распознаванием ДНС имен.

Попробуй посмотреть статью http://www.bog.pp.ru/work/dns_info.html . Я тоже её изучаю: хочу поднять DNS-сервер в офисе, чтобы не править /etc/hosts у каждого веб-разработчика.

[BigBrother]

Подскажите куда смотреть для решения проблемы с распознаванием ДНС имен.

Попробуй посмотреть статью http://www.bog.pp.ru/work/dns_info.html . Я тоже её изучаю: хочу поднять DNS-сервер в офисе, чтобы не править /etc/hosts у каждого веб-разработчика.

Я не говорю про установку ДНС сервера в локальной сети. Меня интересует, почему шлюз не распознает днс имена в интернете, в то время как по !Р адресу сервера доступы. Неужели из-за отсутствия утилиты nslookup?

[Kopilov]

Я не говорю про установку ДНС сервера в локальной сети.

Ну, там и про клиентов написано.

[DaemonTux]

вывод

Код: Выделить всё

ping ya.ru
iptables-save

в студию

[DaemonTux]

Кстати, почему есть трафик для eth0?

Код: Выделить всё

RX bytes:358177713 (341.5 Mb)  TX bytes:187337593 (178.6 Mb)

Если ppp0 это pppoe соединение.
А сам модем подключен к eth0. то все должно быть очевидно

[BigBrother]

вывод

Код: Выделить всё

ping ya.ru
iptables-save

в студию

Код: Выделить всё

# time ping ya.ru
ping: unknown host ya.ru

real    0m40.004s
user    0m0.010s
sys     0m0.000s

Код: Выделить всё

tmp # iptables-save > iptab
# cat iptab
# Generated by iptables-save v1.3.8 on Fri Sep  9 08:32:10 2011
*filter
:INPUT DROP [82000036:5809309604]
:FORWARD ACCEPT [2875374144:1642892251607]
:OUTPUT ACCEPT [99833570:36322380746]
:L - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.9.239 -p tcp -m multiport --dports 21,22 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -d 192.168.9.200 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.9.200 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d 192.168.9.200 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d IP_XXX -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d IP_XXX -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s IP_XXX_1 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -s IP_XXX_1 -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -d IP_XXX -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -d IP_XXX -p tcp -m tcp --sport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 873 -j ACCEPT
-A INPUT -p udp -m udp --sport 873 -j ACCEPT
-A INPUT -s IP_XXX_2 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s IP_XXX_3 -p tcp -m tcp --dport 4310:4410 -j ACCEPT
-A FORWARD -d 192.168.9.239 -p tcp -m tcp --dport 35691 -j ACCEPT
-A FORWARD -d 192.168.9.239 -p udp -m udp --dport 35691 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -d IP_XXX_1 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d IP_XXX_1 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 873 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 873 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 80 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 21 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 873 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 873 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 873 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 2022 -j ACCEPT
COMMIT
# Completed on Fri Sep  9 08:32:10 2011
# Generated by iptables-save v1.3.8 on Fri Sep  9 08:32:10 2011
*nat
:PREROUTING ACCEPT [221181101:29152862749]
:POSTROUTING ACCEPT [84:6389]
:OUTPUT ACCEPT [1102849:62450280]
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.9.108:5900
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 1503 -j DNAT --to-destination 192.168.9.248:1503
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 3306 -j DNAT --to-destination 192.168.9.98:3306
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.9.245:22
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.9.237:22
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 2224 -j DNAT --to-destination 192.168.9.244:22
-A PREROUTING -p tcp -m tcp --dport 4333 -j DNAT --to-destination 192.168.9.239:4333
-A PREROUTING -p udp -m udp --dport 4333 -j DNAT --to-destination 192.168.9.239:4333
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 5500 -j DNAT --to-destination 192.168.9.239:5500
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 1510 -j DNAT --to-destination 192.168.9.108:1510
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.9.108:4899
-A PREROUTING -d IP_XXX -p gre -j DNAT --to-destination 192.168.9.239
-A PREROUTING -i ppp+ -p udp -m udp --dport 500 -j DNAT --to-destination 192.168.9.239
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.9.239
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 2022 -j DNAT --to-destination 192.168.9.239:22
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.9.239:443
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.9.239:80
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 4310 -j DNAT --to-destination 192.168.9.247:4310
-A PREROUTING -i ppp+ -p udp -m udp --dport 4310 -j DNAT --to-destination 192.168.9.247:4310
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 11122 -j DNAT --to-destination 192.168.9.9:22
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 20120 -j DNAT --to-destination 192.168.9.17:80
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 20120 -j DNAT --to-destination 192.168.9.17:80
-A PREROUTING -d IP_XXX -p tcp -m tcp --dport 50080 -j DNAT --to-destination 192.168.9.3:8080
-A POSTROUTING -d 192.168.9.0/255.255.255.0 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.9.0/255.255.255.0 -o eth1 -j MASQUERADE
-A POSTROUTING -o ppp+ -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.9.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT

C локальных компов, которые ходят в инет через этот шлюз, днс имена распознаются нормально.

[/dev/random]

Попробуйте -A INPUT -p udp -m udp --sport 53 -j ACCEPT

[BigBrother]

Попробуйте -A INPUT -p udp -m udp --sport 53 -j ACCEPT

It works!

[DaemonTux]

Вообще iptables настроен мягко говоря странно. Я бы порекомендовал вам их переписать. Вопервых куча правил разрешающих правил в OUTPUT при том что политика по умолчанию и так ACCEPT. во вторых куча дублирующихся и не нужных правил
Например

Код: Выделить всё

-A POSTROUTING -o eth0 -j MASQUERADE

Ну и я бы порекомендовал выставить все политики в таблице фильтр в drop. И разрешить только нужное. И использовать правило вида

Код: Выделить всё

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

P. S. iptables tutorial в помощь

[trancefer]

Код: Выделить всё

nameserver 8.8.8.8

К слову говоря, это DNS Google, я не знаю какая у них политика в отношении сторонних клиентов, но я все же порекомендовал использовать сервера вашего ISP.

[/dev/random]

Код: Выделить всё

nameserver 8.8.8.8

К слову говоря, это DNS Google, я не знаю какая у них политика в отношении сторонних клиентов, но я все же порекомендовал использовать сервера вашего ISP.

Это публичный DNS Google, специально созданный ими для того, чтобы им пользовались сторонние клиенты.