iptables Routing eth1 zu eth0

[tsaenger]

Hallo zusammen,
ich habe einen kleinen Server mit der mit eth0 am Internet angescholssen ist.
Eth1 ist auf einem Switch angeschlossen. IP 192.168.10.111
Nun möchte ich gerne mit den weiteren Clients die am Switch angeschlossen sind ins Internet. Dazu habe ich dort die 10.111 als GW und DNS eingetragen.
Die Clients können auch alle die Gateway erreichen. DNS geht aber nicht.

Ich habe den Server wie folgt eingerichtet:

echo 1> /proc/sys/net/ipv4/ip_forward

Iptables:

Code: Select all

*nat
:PREROUTING ACCEPT [5289:473433]
:INPUT ACCEPT [4245:417795]
:POSTROUTING ACCEPT [63:7323]
:OUTPUT ACCEPT [4012:273969]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Sep 10 01:02:20 2021
# Generated by xtables-save v1.8.2 on Fri Sep 10 01:02:20 2021
*filter
:INPUT ACCEPT [292469:18041473]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [489855:3141115495]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Fri Sep 10 01:02:20 2021
# Generated by xtables-save v1.8.2 on Fri Sep 10 01:02:20 2021
*mangle
:PREROUTING ACCEPT [1145135:64891587]
:INPUT ACCEPT [1143999:64808241]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [489855:3141115495]
:POSTROUTING ACCEPT [489912:3141142416]
COMMIT

erstellt durch
# Allow established connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Masquerade
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Den Bind habe ich wie folgt:

Code: Select all

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
                8.8.8.8;
         };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;
        listen-on {192.168.10.111;} ;
        allow-query { 192.168.10.0/24; } ;
        #forward { only; } ;
        #listen-on-v6 { any; };
};

Ich kann von den clients IPs vom Internet anpingen. Nur das auflösen klappt nicht.
Ich vermute mir fehlt da noch eine forward regel.

Auch vom Server selbst geht es nicht:
Default server: 192.168.10.111
Address: 192.168.10.111#53
> web.de
Server: 192.168.10.111
Address: 192.168.10.111#53

** server can't find web.de: SERVFAIL


Wer kann mir bitte helfen?

vielen Dank.

gruß
Tobias

[tsaenger]

Guten Abend,
ich habe BIND9 durch DNSMasq getauscht und nun geht es.

Vielen Dank.
Gruß
Tobias