@Drno

Почему перестает работать DNS?

Доброго дня. Имеется сервер на дебиан. В нем развернут qemu-kvm.
Там развернут микротк CHR.

После применения вот этих правил в IPTABLES, с микротика (и все что за ним, с любых машин на KVM) перестает работать DNS.
Шлюз и сеть работают, по IP тоже заходит, но не резолвит DNS...

Микротик работает как VPN сервер, ну и еще переадресует неск портов под нужды всякие

spoiler

sysctl -w net.netfilter.nf_conntrack_helper=1
iptables -I FORWARD -o virbr0 -d 192.168.122.2 -j ACCEPT
modprobe ip_gre
modprobe ip_conntrack_pptp
modprobe ip_conntrack
modprobe ip_nat_pptp
modprobe nf_conntrack_pptp
modprobe nf_conntrack
iptables -A FORWARD -p gre -j ACCEPT
iptables -A FORWARD -i enp2s0 -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.122.2:1723
iptables -t nat -I PREROUTING -p gre -j DNAT --to 192.168.122.2
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.122.2:80
iptables -t nat -I PREROUTING -p tcp --dport 443 -j DNAT --to 192.168.122.2:443
iptables -t nat -I PREROUTING -p tcp --dport 10052 -j DNAT --to 192.168.122.2:10052
iptables -t nat -I PREROUTING -p tcp --dport 8081 -j DNAT --to 192.168.122.2:8081
iptables -t nat -I PREROUTING -p tcp --dport 60009 -j DNAT --to 192.168.122.2:60009
iptables -t nat -I PREROUTING -p tcp --dport 59998 -j DNAT --to 192.168.122.2:59998
iptables -t nat -I PREROUTING -p tcp --dport 16001 -j DNAT --to 192.168.122.2:16001
iptables -t nat -I PREROUTING -p tcp --dport 10000 -j DNAT --to 192.168.122.2:10000
iptables -t nat -I PREROUTING -p tcp --dport 10001 -j DNAT --to 192.168.122.2:10001
iptables -t nat -I PREROUTING -p tcp --dport 38102 -j DNAT --to 192.168.122.2:38102
iptables -t nat -I PREROUTING -p tcp --dport 33888 -j DNAT --to 192.168.122.2:33888
iptables -t nat -I PREROUTING -p tcp --dport 33889 -j DNAT --to 192.168.122.2:33889
iptables -t nat -I PREROUTING -p tcp --dport 33898 -j DNAT --to 192.168.122.2:33898
iptables -t nat -I PREROUTING -p tcp --dport 33897 -j DNAT --to 192.168.122.2:33897
iptables -t nat -I PREROUTING -p tcp --dport 33891 -j DNAT --to 192.168.122.2:33891
iptables -t nat -I PREROUTING -p tcp --dport 9080 -j DNAT --to 192.168.122.2:9080
iptables -t nat -I PREROUTING -p tcp --dport 33895 -j DNAT --to 192.168.122.2:33895
iptables -t nat -I PREROUTING -p tcp --dport 33896 -j DNAT --to 192.168.122.2:33896
iptables -t nat -I PREROUTING -p tcp --dport 33898 -j DNAT --to 192.168.122.2:33898
iptables -t nat -I PREROUTING -p tcp --dport 33899 -j DNAT --to 192.168.122.2:33899
iptables -t nat -I PREROUTING -p udp --dport 1701 -j DNAT --to 192.168.122.2:1701
iptables -t nat -I PREROUTING -p udp --dport 500 -j DNAT --to 192.168.122.2:500
iptables -t nat -I PREROUTING -p udp --dport 4500 -j DNAT --to 192.168.122.2:4500
iptables -A INPUT -s 192.168.122.2 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 188.242.*.* -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 188.242.*.* -p tcp --dport 5999 -j ACCEPT
iptables -A INPUT -s 188.242.*.* -p udp --dport 5999 -j ACCEPT
iptables -A INPUT -i enp2s0 -p tcp --dport 111 -j DROP
iptables -A INPUT -i enp2s0 -p udp --dport 111 -j DROP
iptables -A INPUT -i enp2s0 -p udp --dport 53 -j DROP
iptables -A INPUT -i enp2s0 -p tcp --dport 53 -j DROP
iptables -A INPUT -i enp2s0 -p tcp --dport 5353 -j DROP
iptables -A INPUT -i enp2s0 -p udp --dport 5353 -j DROP
iptables -A INPUT -i enp2s0 -p tcp --dport 5999 -j DROP
iptables -A INPUT -i enp2s0 -p udp --dport 5999 -j DROP
iptables -A INPUT -p tcp --dport 22 -j DROP
  • Вопрос задан
  • 223 просмотра
Пригласить эксперта
Ответы на вопрос 2
@AUser0
Чем больше знаю, тем лучше понимаю, как мало знаю.
На 192.168.122.2 видимо нет DNS-а? Тогда после скрипта сделайте команды:
iptables -I FORWARD -i enp2s0 -s 192.168.122.2,188.242.0.0/16 -p udp --dport 53 -j ACCEPT
iptables -I FORWARD -i enp2s0 -s 192.168.122.2,188.242.0.0/16 -p tcp --dport 53 -j ACCEPT


Если сработает и нужно вставить эти команды в скрипт - поменяйте оба "-I FORWARD" на "-A FORWARD".

P.S. Или удалите из скрипта строки с "--dport 53".
Ответ написан
@dronmaxman
VoIP Administrator
Не хватает
sysctl -w net.ipv4.ip_forward=1
iptables -A FORWARD -p gre -j ACCEPT
iptables -A FORWARD -i enp2s0 -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD  -p udp --dport 53 -j ACCEPT
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы