Гипервизор, виртуальный DNS сервер и проброс портов

Автор millionaire_kg, 09 декабря 2016, 08:39:25

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

millionaire_kg

Доброго времени суток! Есть проблемка, Я установил виртуальный ДНС сервер на Гипервизоре debian jessie.
На гипервизоре 2 сетевухи 1 на мир(белый IP), 2 на локалку(192.168.0.1) смотрят. Виртуальные машины и локальные компы в одной подсети, IP 192.168.0.0/24. На виртуальной машине (ДНС сервер) локальный IP 192.168.0.248.
Хочу чтоб виртуальный ДНС сервер был виден из мира.
Сделал проброс порта через iptables на гипервизоре
Цитировать#DNS
iptables -t nat -A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.0.248:53
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p tcp -m tcp --dport 53 -j SNAT --to-source xx.xx.xx.xx

iptables -t nat -A PREROUTING -d xx.xx.xx.xx/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.248:53
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p udp -m udp --dport 53 -j SNAT --to-source xx.xx.xx.xx

iptables -t nat -A PREROUTING -p udp -m udp -d xx.xx.xx.xx/32  --dport 1024:65535 -j DNAT --to-destination 192.168.0.248:1023:65535
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p udp -m udp --dport  1023:65535 -j SNAT --to-source xx.xx.xx.xx
DIG на запрос из мира показывает:
Цитироватьdig @xx.xx.xx.xx mydomain.org ns

; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> @xx.xx.xx.xx mydomain.org ns
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7291
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mydomain.org.                                IN      NS

;; ANSWER SECTION:
mydomain.org.                 30      IN      NS      ns1.mydomain.org.

;; ADDITIONAL SECTION:
ns1.mydomain.org.             30      IN      A       192.168.0.248

;; Query time: 10 msec
;; SERVER: xx.xx.xx.xx#53(xx.xx.xx.xx)
;; WHEN: Thu Dec 08 19:19:39 KGT 2016
;; MSG SIZE  rcvd: 69

root@server:~# nslookup mydomain.org
;; Got SERVFAIL reply from 8.8.8.8, trying next server
т.е. запрос проходит но nslookup не может определить IP или что не знаю
tcpdump на запрос на виртуальном ДНС
Цитироватьtcpdump -nn udp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:24:45.191811 IP xxx.xxx.xxx.xxx.49963 > 192.168.0.248.53: 24298 [1au] A? domain.org. (46)
10:24:45.192023 IP 192.168.0.248.53 > xxx.xxx.xxx.xxx.49963: 24298*- 1/1/2 A 192.168.0.248 (85)
10:24:45.271353 IP xxx.xxx.xxx.xxx.49970 > 192.168.0.248.53: 23420 [1au] A? NS2.domain.org. (50)
10:24:45.271513 IP 192.168.0.248.53 > xxx.xxx.xxx.xxx.49970: 23420 NXDomain*- 0/1/1 (90)

tcpdump -nn udp port 53 на запрос на гипервизоре
Цитировать
tcpdump -nn udp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:24:45.639550 IP 74.125.74.2.49963 > xxx.xxx.xxx.xxx.53: 24298 [1au] A? domain.org. (46)
10:24:45.640048 IP xxx.xxx.xxx.xxx.53 > 74.125.74.2.49963: 24298*- 1/1/2 A 192.168.0.248 (85)
10:24:45.719107 IP 74.125.46.2.49970 > xxx.xxx.xxx.xxx.53: 23420 [1au] A? NS2.domain.org. (50)
10:24:45.719531 IP xxx.xxx.xxx.xxx.53 > 74.125.46.2.49970: 23420 NXDomain*- 0/1/1 (90)
10:25:11.914179 IP xxx.xxx.xxx.xxx.53036 > 8.8.8.8.53: 10755+ PTR? 133.199.218.58.in-addr.arpa. (45)
10:25:11.978836 IP 8.8.8.8.53 > xxx.xxx.xxx.xxx.53036: 10755 NXDomain 0/1/0 (101)