The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NAT и маршру-ция на одном инт-се"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"NAT и маршру-ция на одном инт-се"  +/
Сообщение от Сергей email(??) on 06-Дек-10, 12:23 
Здравствуйте. Поставили задачу. Но я полнейший новичок в линуксе, поэтому столкнулся с большими трудностями. прикладываю схему сети.

http://imagepost.ru/?v=353/12233.png

На буке в центре крутиться Бэктрэк 4. На нем одна сетевая карта (и это уже проблема) eth0 с ИП-адреосом 192.168.1.2. Нужно настроить виртуальные интерфейсы к локальным сетям 1.1.1.0 и 1.1.2.0 (я умею только ifconfig eth0:1 .....), настроить НАТ до сервера 192.168.1.1, чтобы сервер тоже мог обращаться к внутренним хостам, т.е. надо преобразование адресов в обе стороны.

И ещё нужно настроить маршрутизацию из одной внутренней локальной сети в другую. Т.е. нужно обеспечить возможность обращения хоста допустим с адресом 1.1.1.6 к 1.1.2.6, чтобы пакеты проходили через физический интерфейс бука и ловились ваершарком.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от Сергей email(??) on 06-Дек-10, 14:21 
Людям, разбирающимся, я думаю, труда не составит написать несколько строчек. Больше здесь вроде и не надо. НАТ у меня вроде даже получилось сделать, но все равно буду рад увидеть мнение специалистов. А вот с маршрутизацией между сетями, закрепленными за виртуальными интерфейсами, ума не приложу что делать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от rusadmin (ok) on 07-Дек-10, 12:07 
> Людям, разбирающимся, я думаю, труда не составит написать несколько строчек. Больше здесь
> вроде и не надо. НАТ у меня вроде даже получилось сделать,
> но все равно буду рад увидеть мнение специалистов. А вот с
> маршрутизацией между сетями, закрепленными за виртуальными интерфейсами, ума не приложу
> что делать.

ненадо с маршрутизацией ничего делать. ЕЕ нужно только включить

sysctl -w net.ipv4.conf.all.forwarding=1

А дальше уже можешь на уровне фаерволла настраивать правила для этой маршрутизации или трансляции адресов (трансляция адресов (nat) работает только при включенном forwarding)

например надо тебе чтобы с подсети 1.1.1.0/24 (подключены к интерфейсу eth0)  получили инет (интерфейс eth1, реальный адрес 92.121.11.1):

iptables -t nat -A  POSTROUTING -o eth1 -s 1.1.1.0/24 -j SNAT --to-source 92.121.11.1

если реальный адрес получет динамически то

iptables -t nat -A  POSTROUTING -o eth1 -s 1.1.1.0/24 -j MASQUERADE

и разрешить прохождение пакетов:

iptables -A FORWARD -i eth0 -o eth1 -s 1.1.1.0/24 -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -d 1.1.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

При присвоении адаптерам дополнительных IP адресов (например ifconfig eth0:1 192.168.1.1) для фаерволла он остается eth0, т.е. чтобы выпустить эту подсеть в инет нужно будет сделать так:

iptables -t nat -A  POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to-source 92.121.11.1
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

вроде так

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от rusadmin (ok) on 07-Дек-10, 12:18 
>[оверквотинг удален]
> большими трудностями. прикладываю схему сети.
> http://imagepost.ru/?v=353/12233.png
> На буке в центре крутиться Бэктрэк 4. На нем одна сетевая карта
> (и это уже проблема) eth0 с ИП-адреосом 192.168.1.2. Нужно настроить виртуальные
> интерфейсы к локальным сетям 1.1.1.0 и 1.1.2.0 (я умею только ifconfig
> eth0:1 .....), настроить НАТ до сервера 192.168.1.1, чтобы сервер тоже мог
> обращаться к внутренним хостам, т.е. надо преобразование адресов в обе стороны.
> И ещё нужно настроить маршрутизацию из одной внутренней локальной сети в другую.
> Т.е. нужно обеспечить возможность обращения хоста допустим с адресом 1.1.1.6 к
> 1.1.2.6, чтобы пакеты проходили через физический интерфейс бука и ловились ваершарком.

именно тут я бы сделал так:

Безо всякого ната (грузит проц)

#Добавим интерфейсы
ifconfig eth0:1 1.1.1.1 netmask 255.255.255.0 up
ifconfig eth0:2 1.1.2.1 netmask 255.255.255.0 up

#Включаем пересылку пакетов
sysctl -w net.ipv4.conf.all.forwarding=1

#Настраиваем правила фаервола

Правило по-умолчанию для фильтрации транзитных пакетов
iptables -P FORWARD DROP

Правила "туда"
iptables -A FORWARD -i eth0 -o eth0 -s 1.1.1.0/24 -d 192.168.1.1 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -s 1.1.2.0/24 -d 192.168.1.1 -j ACCEPT

Правила "обратно"
iptables -A FORWARD -i eth0 -o eth0 -d 1.1.1.0/24 -s 192.168.1.1 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -d 1.1.2.0/24 -s 192.168.1.1 -j ACCEPT

#На сервере 192.168.1.1 добавить статический маршрут (предположим там винда)
route add -p 1.1.1.0 mask 255.255.255.0 192.168.1.2
route add -p 1.1.2.0 mask 255.255.255.0 192.168.1.2


Вроде так. Может что упустил....


Это все можно добавить в /etc/rc.d/rc.local и будет все подниматься при загрузке системы, главное порядок не перепутать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от Сергей email(??) on 11-Дек-10, 17:20 
Ребята, спасибо за помощь.

Что-то вроде заработало, но местами не так, как нужно. Уточняю схему: в сетях 1.1.1.0 и 1.1.2.0 находятся IP-телефоны. 192.168.1.1 - маршрутизатор cisco с установленным call manager express (что-то вроде центрального устройства для поднятия ИП-телефонии), на этом же маршрутинику находится TFTP-сервер, с которого телефоны при регистрации в сети скачивают
конфигурационные файлы вида SEPXXXXXXXXXXX.cnf.xml.

Прикладываю  дамп трафика: http://imagepost.ru/?v=369/ZAeVR8V.png

Видно, как в пакете 1087 телефон 1.1.1.11 обращается к тфтп серверу 192.168.1.1 и работает НАТ (192.168.1.3 как раз и есть внешний адрес бука посередине). Но вот принять этот файл телефон не может, от бука к циске идет icmp-сообщение с ошибкой. Помогите, не пойму в чем дело. То ли НАТ снаружи внутрь некорректно настроен, то ли фаерволл что-то где-то режет. Без НАТа все работает отлично.

iptables настраивал так:

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth0 -j ACCEPT

Напоминаю, что интерфейс у меня один eth0, на который повешены два дополнительных ИП через eth0:X.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от reader (ok) on 11-Дек-10, 20:27 
TFTP через nat вроде не работает.
или я отстал от прогресса?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от rusadmin (ok) on 12-Дек-10, 08:57 
> TFTP через nat вроде не работает.
> или я отстал от прогресса?

хоть убей, всеравно не понимаю зачем тут нат...


Нету еще iptables -A FORWARD -o eth0 -j ACCEPT

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от Af. on 12-Дек-10, 11:11 
> хоть убей, всеравно не понимаю зачем тут нат...

+1. До тех пор пока пакеты не выходят за пределы собственных сетей с "серыми" адресами нет необходимости делать НАТ. Достаточно только "route add ...". И только на шлюзе в сеть с белыми адресами уже нужна НАТ для экранирования серых адресов.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от Сергей email(??) on 12-Дек-10, 12:28 
>> хоть убей, всеравно не понимаю зачем тут нат...
> +1. До тех пор пока пакеты не выходят за пределы собственных сетей
> с "серыми" адресами нет необходимости делать НАТ. Достаточно только "route add
> ...". И только на шлюзе в сеть с белыми адресами уже
> нужна НАТ для экранирования серых адресов.

Ребята, задача если уж совсем конкретно ставить такая: есть сеть 192.168.1.0/24 с IP-телефонами и шлюзом с колл менеджером и дхцп/тфтп-сервером на 192.168.1.1. Я произвожу атаку на подмену легитимного DHCP-сервера, т.е. втыкаю в сети ноут с левым дхцп сервером, и выдаю телефонам адреса из каких-то виртуальных подсетей. Теперь весь трафик до циски, используя шлюз по умолчанию, пойдет через меня. Естественно, добавлять маршруты на циске я не могу, иначе какая же это атака. Манипуляции только на буке. Поэтому мне кажется, что без ната здесь никак.

Сами разговоры устанавливаются нормально, но вот конфигурационный файл никак не хочет скачиваться. Наверняка же есть решение.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от reader (ok) on 12-Дек-10, 19:58 
>[оверквотинг удален]
>> ...". И только на шлюзе в сеть с белыми адресами уже
>> нужна НАТ для экранирования серых адресов.
> Ребята, задача если уж совсем конкретно ставить такая: есть сеть 192.168.1.0/24 с
> IP-телефонами и шлюзом с колл менеджером и дхцп/тфтп-сервером на 192.168.1.1. Я
> произвожу атаку на подмену легитимного DHCP-сервера, т.е. втыкаю в сети ноут
> с левым дхцп сервером, и выдаю телефонам адреса из каких-то виртуальных
> подсетей. Теперь весь трафик до циски, используя шлюз по умолчанию, пойдет
> через меня. Естественно, добавлять маршруты на циске я не могу, иначе
> какая же это атака. Манипуляции только на буке. Поэтому мне кажется,
> что без ната здесь никак.

не понятно что вы от nat ждете, что он не пропустит какие то пакеты из 192.168.1.0/24 в 10.* , так это и фильтрами можно сделать.

> Сами разговоры устанавливаются нормально, но вот конфигурационный файл никак не хочет скачиваться.
> Наверняка же есть решение.

только не забывайте что ваш бук можно закидать ложными arp-ответами и тем самым вклиниться между ним и cisco

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "NAT и маршру-ция на одном инт-се"  +/
Сообщение от rusadmin (ok) on 13-Дек-10, 09:09 
Если уж стоит задача защитить сеть от описанных выше атак, то покупайте мультиуровневые коммутаторы с vlan'ами, настраивайте все интерфейсы статически.... А то решили буком обойтись с одним интерфейсом...

З.Ы. нат задумывался как транслятор адресов  классов А, B и C из которые диапазоны выделенны для локальных сетей в реальные адреса.


А TFTP не устанавливается скорее всего именно  потому, что у вас двухсторонний нат

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру