Как правильно настроить шлюз?

Question

[Harbid Abu Marhamedoff]

Есть шлюз в инет на базе Debian Wheezy. Снаружи виден как некийсайт.ru, изнутри адрес 10.0.0.1. На нём стоит апач и сквид, во внутреннюю сетку инет раздаётся с помощью iptables.
Первая проблема. При выходе через сквид всё нормально, но если пытаться выходить в инет без сквида и набрать адрес http://некийсайт.ru, то страница не открывается, потому что DNS резолвится в ip внешней сетевухи и из внутренней сетки он почему-то не доступен. Как это победить? Ставить свой внутренний DNS? А если у клиента прописан внешний DNS, это не сработает.
Вторая проблема. iptables настраивается вот так:
/sbin/iptables -t nat -A POSTROUTING -o внешний_iface -j SNAT --to-source внешний_ip
Если я правильно понимаю, так настроенный nat будет заворачивать в инет все пакеты, включая и те, что прилетят с компа соседа, имеющего ip во внешней сетке, видимой через внешний_iface. Как сделать, чтобы это работало только для внутренних интерфейсов?

Answer 1

[Сергей]

Пропишите в ДНС внутренний IP сервера. Делов то.

Подумал - решил дополнить.
1. Уберите с шлюза веб-сервер и сайт. Если проксю еще можно терпеть, сайт - это потенциальная дыра. Вас еще ни разу не ломали??
2. Для людей "снаружи" и "снутри" должен быть свой ДНС. Соответственно, каждый для своих сетей. Внутренние клиенты должны нацеливаться на внутренний ДНС.
3. По поводу iptables, не подскажу. Я использую другой файрвол. Но честно, не совсем понял что вам нужно в инет завернуть? Ведь если внутренний клиент запрашивает внешний IP, то нужно просто пропустить этот пакет через НАТ и выпустить во вне. Зачем что-то заворачивать?