forum.opennet.ru - "настройка iptables" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"настройка iptables"

Форум Информационная безопасность (Linux iptables, ipchains)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"настройка iptables"	+/–
Сообщение от epox (ok) on 17-Июл-13, 14:17
Пытаюсь настроить openvpn. Есть две сети. Из второй сети есть доступ к первой. Из первой сети есть доступ только к локальному интерфейсу второго сервера, а достучаться до компьютеров за ним не могу. Конфиг iptables второго сервера root@ubuntu:/etc# cat /etc/iptables.up.rules # Generated by iptables-save v1.4.12 on Tue Jul 9 20:27:14 2013 nat :PREROUTING ACCEPT [732:66611] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 COMMIT # Completed on Tue Jul 9 20:27:14 2013 # Generated by iptables-save v1.4.12 on Tue Jul 9 20:27:14 2013 filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i tap0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Tue Jul 9 20:27:14 2013 # Generated by iptables-save v1.4.12 on Tue Jul 9 20:27:14 2013 *mangle :PREROUTING ACCEPT [8313:3505122] :INPUT ACCEPT [2643:2990241] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2516:148036] :POSTROUTING ACCEPT [2516:148036] -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu COMMIT # Completed on Tue Jul 9 20:27:14 2013
Ответить \| Правка \| Cообщить модератору

Оглавление

настройка iptables, PavelR, 14:45 , 17-Июл-13, (1)
настройка iptables, reader, 14:55 , 17-Июл-13, (2)

настройка iptables, epox, 15:04 , 17-Июл-13, (3)

настройка iptables, reader, 15:31 , 17-Июл-13, (4)

настройка iptables, epox, 15:55 , 17-Июл-13, (5)

настройка iptables, reader, 16:34 , 17-Июл-13, (6)

настройка iptables, Дядя_Федор, 08:46 , 18-Июл-13, (7)

настройка iptables, Дядя_Федор, 08:49 , 18-Июл-13, (8)

настройка iptables, epox, 14:25 , 18-Июл-13, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "настройка iptables" +/–

Сообщение от PavelR (ok) on 17-Июл-13, 14:45

сходите в библиотеку за книжкой по устройству IP-сетей.
попробуйте обучиться использовать tcpdump для анализа прохождения пакетов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "настройка iptables" +/–

Сообщение от reader (ok) on 17-Июл-13, 14:55

>[оверквотинг удален]
> root@ubuntu:/etc# cat /etc/iptables.up.rules
> # Generated by iptables-save v1.4.12 on Tue Jul  9 20:27:14 2013
> *nat
> :PREROUTING ACCEPT [732:66611]
> :INPUT ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> :POSTROUTING ACCEPT [0:0]
> -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j SNAT --to-source 192.168.210.101
> -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j SNAT --to-source 192.168.210.101
зачем вам тут snat  и чей адрес вы подставляете?
>[оверквотинг удален]
> *mangle
> :PREROUTING ACCEPT [8313:3505122]
> :INPUT ACCEPT [2643:2990241]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [2516:148036]
> :POSTROUTING ACCEPT [2516:148036]
> -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m
> tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
> COMMIT
> # Completed on Tue Jul  9 20:27:14 2013

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "настройка iptables" +/–

Сообщение от epox (ok) on 17-Июл-13, 15:04

>[оверквотинг удален]
>> root@ubuntu:/etc# cat /etc/iptables.up.rules
>> # Generated by iptables-save v1.4.12 on Tue Jul  9 20:27:14 2013
>> *nat
>> :PREROUTING ACCEPT [732:66611]
>> :INPUT ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>> :POSTROUTING ACCEPT [0:0]
>> -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j SNAT --to-source 192.168.210.101
>> -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j SNAT --to-source 192.168.210.101
tap0=192.168.210.101 - транспорный ip сервера филиала.
192.168.20.0/24 - локальная сеть филиала
192.168.0.0/24  - локальная сеть центрального офиса.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "настройка iptables" +/–

Сообщение от reader (ok) on 17-Июл-13, 15:31

>[оверквотинг удален]
>>> :PREROUTING ACCEPT [732:66611]
>>> :INPUT ACCEPT [0:0]
>>> :OUTPUT ACCEPT [0:0]
>>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>>> :POSTROUTING ACCEPT [0:0]
>>> -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j SNAT --to-source 192.168.210.101
>>> -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j SNAT --to-source 192.168.210.101
> tap0=192.168.210.101 - транспорный ip сервера филиала.
> 192.168.20.0/24 - локальная сеть филиала
> 192.168.0.0/24  - локальная сеть центрального офиса.
ну и смысл, в подсетях все равно нужен маршрут к 192.168.210.101, а если сервер и клиент vpn на шлюзах, то тем более пропишите маршруты, а snat уберите

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "настройка iptables" +/–

Сообщение от epox (ok) on 17-Июл-13, 15:55

Когда посылаю пинги с машины с центрального офиса на машину с филиала, то
tcpdump -i tap0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:51:50.494558 ARP, Request who-has 192.168.20.3 tell 192.168.210.1, length 28
17:51:51.494518 ARP, Request who-has 192.168.20.3 tell 192.168.210.1, length 28
17:51:52.496408 ARP, Request who-has 192.168.20.3 tell 192.168.210.1, length 28
tcpdump -i eth0 icmp
ничего не отображает.
вывод ip route на сервере филиала
root@ubuntu:/etc# ip route show
default dev ppp0  scope link
172.16.0.84 dev ppp0  proto kernel  scope link  src 85.120.001.170
192.168.0.0/24 via 192.168.210.1 dev tap0
192.168.20.0/24 dev eth0  proto kernel  scope link  src 192.168.20.1
192.168.210.0/24 via 192.168.210.1 dev tap0
192.168.210.0/24 dev tap0  proto kernel  scope link  src 192.168.210.101
Похоже что пакеты теряются при передаче с tap0 на eth0

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "настройка iptables" +/–

Сообщение от reader (ok) on 17-Июл-13, 16:34

>[оверквотинг удален]
> ничего не отображает.
> вывод ip route на сервере филиала
> root@ubuntu:/etc# ip route show
> default dev ppp0  scope link
> 172.16.0.84 dev ppp0  proto kernel  scope link  src 85.120.001.170
> 192.168.0.0/24 via 192.168.210.1 dev tap0
> 192.168.20.0/24 dev eth0  proto kernel  scope link  src 192.168.20.1
> 192.168.210.0/24 via 192.168.210.1 dev tap0
> 192.168.210.0/24 dev tap0  proto kernel  scope link  src 192.168.210.101
> Похоже что пакеты теряются при передаче с tap0 на eth0
это arp запрос mac адреса оставшийся без ответа, этот пакет не будет маршрутизироватся

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "настройка iptables" +/–

Сообщение от Дядя_Федор on 18-Июл-13, 08:46

> это arp запрос mac адреса оставшийся без ответа, этот пакет не будет
> маршрутизироватся
И возникает вопрос - какого лешего машина из сети 192.168.200.0 запрашивает МАК-адрес машины из сети 192.168.20.0? И тут же возникает ответ. Потому что считает ее находящейся в своем бродкаст сегменте. Вывод - на машине из сети 192.168.200.0 стоит маска не /24, а /16 (скорее всего). И пакеты в сеть 192.168.20.0 она будет передавать не ЧЕРЕЗ маршрутизатор (где к ним будут применяться правила маршрутизации), а НАПРЯМУЮ. Для чего ей и понадобился МАК-адрес машины из другого сегмента.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "настройка iptables" +/–

Сообщение от Дядя_Федор on 18-Июл-13, 08:49

Хотя нет - ступил, прошу прощения. И сеть не 200, а 210. Не обратил внимание, что это интерфейс самого сервера. Но суть в том, что интерфейс 210.1 не знает МАК-адреса интерфейса в 20-й сети.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "настройка iptables" +/–

Сообщение от epox (ok) on 18-Июл-13, 14:25

Спасибо всем за ответы.
Ошибку нашел - неправильно прописал шлюз для сети 192.168.20.0/24 на центральном сервере.
Отдельное спасибо PavelR за книжку про маршрутизацию и tcpdump :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "настройка iptables"	+/–
Сообщение от PavelR (ok) on 17-Июл-13, 14:45
сходите в библиотеку за книжкой по устройству IP-сетей. попробуйте обучиться использовать tcpdump для анализа прохождения пакетов.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "настройка iptables"	+/–
Сообщение от reader (ok) on 17-Июл-13, 14:55
>[оверквотинг удален] > root@ubuntu:/etc# cat /etc/iptables.up.rules > # Generated by iptables-save v1.4.12 on Tue Jul 9 20:27:14 2013 > nat > :PREROUTING ACCEPT [732:66611] > :INPUT ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT > :POSTROUTING ACCEPT [0:0] > -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 > -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 зачем вам тут snat и чей адрес вы подставляете? >[оверквотинг удален] > mangle > :PREROUTING ACCEPT [8313:3505122] > :INPUT ACCEPT [2643:2990241] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [2516:148036] > :POSTROUTING ACCEPT [2516:148036] > -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m > tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu > COMMIT > # Completed on Tue Jul 9 20:27:14 2013
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "настройка iptables"	+/–
	Сообщение от epox (ok) on 17-Июл-13, 15:04
	>[оверквотинг удален] >> root@ubuntu:/etc# cat /etc/iptables.up.rules >> # Generated by iptables-save v1.4.12 on Tue Jul 9 20:27:14 2013 >> *nat >> :PREROUTING ACCEPT [732:66611] >> :INPUT ACCEPT [0:0] >> :OUTPUT ACCEPT [0:0] >> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT >> :POSTROUTING ACCEPT [0:0] >> -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 >> -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 tap0=192.168.210.101 - транспорный ip сервера филиала. 192.168.20.0/24 - локальная сеть филиала 192.168.0.0/24 - локальная сеть центрального офиса.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "настройка iptables"	+/–
	Сообщение от reader (ok) on 17-Июл-13, 15:31
	>[оверквотинг удален] >>> :PREROUTING ACCEPT [732:66611] >>> :INPUT ACCEPT [0:0] >>> :OUTPUT ACCEPT [0:0] >>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT >>> :POSTROUTING ACCEPT [0:0] >>> -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 >>> -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j SNAT --to-source 192.168.210.101 > tap0=192.168.210.101 - транспорный ip сервера филиала. > 192.168.20.0/24 - локальная сеть филиала > 192.168.0.0/24 - локальная сеть центрального офиса. ну и смысл, в подсетях все равно нужен маршрут к 192.168.210.101, а если сервер и клиент vpn на шлюзах, то тем более пропишите маршруты, а snat уберите
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "настройка iptables"	+/–
	Сообщение от epox (ok) on 17-Июл-13, 15:55
	Когда посылаю пинги с машины с центрального офиса на машину с филиала, то tcpdump -i tap0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tap0, link-type EN10MB (Ethernet), capture size 65535 bytes 17:51:50.494558 ARP, Request who-has 192.168.20.3 tell 192.168.210.1, length 28 17:51:51.494518 ARP, Request who-has 192.168.20.3 tell 192.168.210.1, length 28 17:51:52.496408 ARP, Request who-has 192.168.20.3 tell 192.168.210.1, length 28 tcpdump -i eth0 icmp ничего не отображает. вывод ip route на сервере филиала root@ubuntu:/etc# ip route show default dev ppp0 scope link 172.16.0.84 dev ppp0 proto kernel scope link src 85.120.001.170 192.168.0.0/24 via 192.168.210.1 dev tap0 192.168.20.0/24 dev eth0 proto kernel scope link src 192.168.20.1 192.168.210.0/24 via 192.168.210.1 dev tap0 192.168.210.0/24 dev tap0 proto kernel scope link src 192.168.210.101 Похоже что пакеты теряются при передаче с tap0 на eth0
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "настройка iptables"	+/–
	Сообщение от reader (ok) on 17-Июл-13, 16:34
	>[оверквотинг удален] > ничего не отображает. > вывод ip route на сервере филиала > root@ubuntu:/etc# ip route show > default dev ppp0 scope link > 172.16.0.84 dev ppp0 proto kernel scope link src 85.120.001.170 > 192.168.0.0/24 via 192.168.210.1 dev tap0 > 192.168.20.0/24 dev eth0 proto kernel scope link src 192.168.20.1 > 192.168.210.0/24 via 192.168.210.1 dev tap0 > 192.168.210.0/24 dev tap0 proto kernel scope link src 192.168.210.101 > Похоже что пакеты теряются при передаче с tap0 на eth0 это arp запрос mac адреса оставшийся без ответа, этот пакет не будет маршрутизироватся
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "настройка iptables"	+/–
	Сообщение от Дядя_Федор on 18-Июл-13, 08:46
	> это arp запрос mac адреса оставшийся без ответа, этот пакет не будет > маршрутизироватся И возникает вопрос - какого лешего машина из сети 192.168.200.0 запрашивает МАК-адрес машины из сети 192.168.20.0? И тут же возникает ответ. Потому что считает ее находящейся в своем бродкаст сегменте. Вывод - на машине из сети 192.168.200.0 стоит маска не /24, а /16 (скорее всего). И пакеты в сеть 192.168.20.0 она будет передавать не ЧЕРЕЗ маршрутизатор (где к ним будут применяться правила маршрутизации), а НАПРЯМУЮ. Для чего ей и понадобился МАК-адрес машины из другого сегмента.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "настройка iptables"	+/–
	Сообщение от Дядя_Федор on 18-Июл-13, 08:49
	Хотя нет - ступил, прошу прощения. И сеть не 200, а 210. Не обратил внимание, что это интерфейс самого сервера. Но суть в том, что интерфейс 210.1 не знает МАК-адреса интерфейса в 20-й сети.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

9. "настройка iptables"	+/–
Сообщение от epox (ok) on 18-Июл-13, 14:25
Спасибо всем за ответы. Ошибку нашел - неправильно прописал шлюз для сети 192.168.20.0/24 на центральном сервере. Отдельное спасибо PavelR за книжку про маршрутизацию и tcpdump :-)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору