iptables и dns

а днс провайдерский или свой? Какой днс указан на клиентах?

днс свой, там все по дефолту, если прописывать прокси на сквид все работает, иначе нет, на клиентах (пока только я сам :)) шлюз и днс на свой сервак.

то есть надо разрешить внс-запросы с сервера? Тогда откройте доступ всем пакетам по протоколу udp с 53 порта

Хм, это понятно, только вот не получается, может я что-то упускаю, вот что я пробовал:
1)
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -s 192.168.0.0/24 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
2)
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 53 -i eth1 -j ACCEPT

Так, стоп Зачем Вам прероутинг, если используете внутренний DNS, то его надо открыть для клиентов, на сервере делаете iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.0.0/24 -p tcp --sport 53 -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT Если в синтаксисе напутал, извините... Затем,чтобы ваше Bind мог обращаться выше к своим форвардерсам,либо к корневым,надо то же самое разрешить наружу...

Вроде прописал как посоветовали, но не кактит что-то, на самом сервере все работает, у юзеров нет, вот вывод iptables -nL:
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- !192.168.0.0/24 0.0.0.0/0
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 192.168.0.0/24 0.0.0.0/0 udp dpt:53

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 192.168.0.0/24 tcp spt:53
ACCEPT udp -- 0.0.0.0/0 192.168.0.0/24 udp spt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53

iptables -I INPUT 1 -m state --state RELATED, ESTABLISHED -j ACCEPT

Есть такое правило? Типа, если пакет относится к уже установленному соединению -- пропустить! Ответы на запрос к ДНС будут пропускаться, произвольная ходьба снаружи на 53 порт -- нет.

З.Ы. Скорее всего, конечно, есть.

Да, было, сейчас прописал, но никакого эффекта :(
В чем еще может быть прикол ?

Так, я ничего не понимаю, что Вы хотите... У вас в бинде есть описание каких-либо зон? Попробуйте из внутренней сети сделать следующее nslookup server serveraddress и сделайте запрос какой-нибудь

В бинде, по умолчанию, описание только корневых зон. Деалю на самом сервере, типа, ping www.ru и т.п. все нормально, т.е. днс преобразовывается, а у юзеров, использующие его как шлюз и днс сервер не преобразовываются днс имена. Может я чего-то не догоняю...

ОООО, то есть с самого сервера с запросами всё в порядке... Так вот, остаётся только открыть доступ для локальных пользователей nslookup, что говорит??? Коннект есть?

Так в том и проблема что не получается открыть доступ пользователям, а nslookup (еще им не пользовался) строкой вида: nslookup www.yandex.ru www.ru, пишет:
;; connect timed out; no servers could be reached
Но как мне кажется это не должно влиять на пользователей.

так ведь вот и ответ на вопрос

/etc/resolv.conf

при чем тут бинд?

Как это причем??? Человек не спрашивает, где ему указать сервер, он у него уже указан, как я понял, он спрашивает, почему коннекты не проходят и я так понял, что к его бинду, ибо он к нему коннектится

Рекурсия для локальной сети в настройках dns-сервера разрешена ?

На счет рекурсии незнаю, вообще настройки бинда не менял, а в /etc/resolv.conf pppd автоматом прописывает днс прова.

Да, и еще, 'dig www.ru' спрашивает у днс-сервера из /etc/resolv.conf и все показывает нормально (IP)

> На счет рекурсии незнаю, вообще настройки бинда не менял
Плохо, нужно узнать и включить.

> Вроде прописал как посоветовали, но не кактит что-то, на самом сервере все работает, у юзеров нет, вот вывод iptables -nL:

> Chain INPUT (policy ACCEPT)

> target prot opt source destination

> DROP all -- !192.168.0.0/24 0.0.0.0/0

> ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:53

> ACCEPT udp -- 192.168.0.0/24 0.0.0.0/0 udp dpt:53

вообще, в iptables порядок важен. если правила заданы именно в таком порядке, то работать не будет. ACCEPT'ы надо поперёд DROP покласть.