Титла: iptables забравя НАТ-а Публикувано от: runtime в Apr 17, 2014, 16:26 Имам проблем с iptables NAT-а не работи след определен период от време. Няма специфични причини, няма нищо в лога. Просто си решава и филтрира порта, като само reboot го спасява, след което работи отново няколко дни и пак се губи.
Правилото е съвсем просто iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9913 -s $IP -j DNAT --to-destination 192.168.0.3:1020 iptables -A INPUT -p tcp --dport 9913 -s $IP -j ACCEPT От гейтуей машината си достъпвам вътрешния адрес (192.168.0.3) на определения порт. като сканирам от отдаличена машина ми дава, че порта е филтриран 9913/tcp filtered unknown Къде е идеята сам да си се филтрира? Някакви идеи? Сега виждам един интересен момент, а именно това, че с iptables -L правилото го няма :) Каква може да е причината iptables да го разкарва от веригата? Системата е Slackware 14 Версията на iptables е 1.4.20-x86_64 Титла: Re: iptables забравя НАТ-а Публикувано от: wfw в Apr 17, 2014, 17:19 само това правило или всички в нат таблицата?
Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 18, 2014, 22:11 Всички правила "забравя" в нат таблицата.
След рестарт всичко си идва по мястото :) Имам предвид тук, че дори и флуш не помага. Дори и да я флушна и пак да набия правилото то не се форуордва. Само след reboot и след като си изпълни скрипта правилата тръгват :) Титла: Re: iptables забравя НАТ-а Публикувано от: BRADATA в Apr 19, 2014, 08:39 След рестарт пусни:
iptables -L -xvn iptables -t nat -L -xvn iptables -t mangle -L -xvn Запази си изхода от трите команди. Като "забрави" правилата го пусни пак и виж разликата. Ще видиш липсващи/нови правила. Като ги видиш - ща търсим от къде се появяват/изчезват. Титла: Re: iptables забравя НАТ-а Публикувано от: wfw в Apr 19, 2014, 14:22 Пробвал ли си да презаредиш модула за nat в ядрото? Да не би това да е проблема?
Титла: Re: iptables забравя НАТ-а Публикувано от: edmon в Apr 19, 2014, 16:23 тва ти е от слакварето, понеже се пише нагоре надолу не е ясно дали някъде нещо
не ти трие нат таблицата:) хехехех Титла: Re: iptables забравя НАТ-а Публикувано от: BRADATA в Apr 19, 2014, 17:03 тва ти е от слакварето, понеже се пише нагоре надолу не е ясно дали някъде нещоТочно slackware не пипа никъде освен ако изрично не му кажеш. Недей да говориш глупости. Титла: Re: iptables забравя НАТ-а Публикувано от: tolostoi в Apr 20, 2014, 09:02 Виж нещо да не те флуди и от там, друг възможен проблем е хардуерен, я рам я мрежова карта.
Титла: Re: iptables забравя НАТ-а Публикувано от: edmon в Apr 20, 2014, 17:03 тва ти е от слакварето, понеже се пише нагоре надолу не е ясно дали някъде нещоТочно slackware не пипа никъде освен ако изрично не му кажеш. Недей да говориш глупости. Как глупости, виж, че не мое си намери ко му трие таблицата :) само от слака ще да е :) :) Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 20, 2014, 19:05 Честно казано само от тези две правила нищо не се разбира какво и как е настроено в скрипта за защитната стена. Според мен най-добре е да ни покаже всички правила за iptables иначе така не става.
Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 20, 2014, 23:22 Извинявам се за закъснението ама празници...
@BRADATA Взел съм под внимание твоето предложение. Сега чакам да угасне и да експорна съдържанието отново. @wfw Не съм, но ще го пробвам при първия удобен случай. @tolostoi Хардуерен е изключен защото всичко останало си работи нормално. За флууд също изпитвам съмнения защото щеше да ми направи впечатление, а и имам snort който щеше да изреве, че там има една камара правила за флууд. @edmon Не се бях замислял дали не е от слак-а... Ще взема да преинсталирам с убунту, да видя дали няма да се оправи :-D [_]3 Правилата http://pastebin.com/EJ1wrmmK П.С. 4-ти ден работи :) Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 21, 2014, 00:23 Извинявам се за закъснението ама празници... Така добави тези правила : Код: iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.3 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT и рестартирай правилата. Интересно ми е в /etc/sysctl.conf какво има ?! И още един въпрос какви са тези глупости в настройките ? Код: echo "Nat internet" Как така на един и същи интерфейс пренасочваш към различни мрежи няма логика човече ?! Титла: Re: iptables забравя НАТ-а Публикувано от: BRADATA в Apr 21, 2014, 05:48 Цитат echo "Nat internet"Това са изходящи правила :) @edmon Пак казвам - проблема не е в slackware-то. Ще помоля да се опитате да намалите тази хейтърска политика тук. Slackware е една от най-стабилните и стари дистрибуции и това, че някой не може да работи с нея щото няма "графични цъкалки" за всичко не означава, че за нищо не става. 70% от сървърите, които поддържам са с тази дистрибуция и имам машини с ъптайм повече от 700 дни. Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 21, 2014, 12:40
1. Извинявам се че не се изразих правилно наистина си прав че е за изходящи, но не може да има две клас Ц мрежи за изходящ трафик на един и същи интерфейс т.е. може но никъде от кода който е показан в пейстбин не се вижда трети интерфейс за 2-ра въртрешна мрежа 2. много ясно че не е от слакуера от задклавиатурното устройство е Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 21, 2014, 13:02 Никъде не съм твърдял, че са на един интерфейс.
eth0 - Inet provider eth1 - 168.0.0/24 eth2 - 168.142.0/24 Код: echo 1 > /proc/sys/net/ipv4/ip_forward Ще пробвам с правилата, които си описал въпреки, че ме съмнява. Тук по-скоро е нещо на ниво ядро според мен. Казвам го защото дори и да флушна таблицата и пак да набия правилото то не влиза в нея. И пак казвам, че интересното е само с това... Другите на 22-ри порт нямат такъв проблем :) Така и така скоро не съм обновявал ядрото ще пробвам и това после.... Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 21, 2014, 13:11 Никъде не съм твърдял, че са на един интерфейс. Не мога да разбера хем искаш да ти помогне някой и в същото време не показваш всички правила в кода който си показал в пейстбин не сме гадатели разбираш ли. Веднага мога да ти дам цял скрипт за рутиране и то точно за слакуер, ако ще и с 50 вътрешни мрежи да е, но не е там въпроса. Имам 2 слакуера 14.1 и работят без грешка изпълняват различни функции и се справят перфектно и няма такива филми да ми трият правила и пр. особено пък за iptables. И един въпрос има ли kernel-headers инсталирани, въпреки че не вярвам да е от това ? Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 21, 2014, 13:58 Ъъъ извинявай ама правилата съм ги показал 1/1 [_]3
Искаше sysctl - давам го. Аз не намирам причина обаче нещо там да прави проблеми и за това и не съм го показвал предния път. В правилата никъде не съм задавал вътрешни интерфейси защото не е нужно... Всъщност това с рутирането и правилата не мисля, че оказва значение защото се "забравя" само едно правило от веригата и то след време >:D Как са подредени правилата по веригата не мисля, че ще е от значение освен ако няма seconds и hitcount например. За това не съм сметнал за необходимо да ги пускам в началото. Ясно, имаш два слака и нямам съмнение, че работят, но уви - при мен отказа и то нещо абсилютно малоумно се случва :) Не се съмнявам и в компетентноста ти, но не е нужно да се хвърлят излишни нерви според мен. П.С. за хедърите да - kernel-headers-3.2.29-x86-1 Да пробвам ли да обновявам ядрото до 3.10.17 или да си поблъскаме главите някой ден? :) Титла: Re: iptables забравя НАТ-а Публикувано от: BRADATA в Apr 21, 2014, 15:17 arp проблем? Имаш ли проблем с достъпа от сървъра до машината когато се скапят нещата?
Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 21, 2014, 17:38 Обсолютно никакъв и мисля, че го бях писал. Връзвам се на порта през телнет без проблем, а и с клиента на определения порт.
Много е шантава ситуацията [_]3 Зора е, че не знам при какви условия го прави и кога. Както казах вече 4-ти ден няма проблем. Запазил съм изходите на листите когато работи, а сега чакам да спре и да сравнявам. Хем ме сърбят ръцете да обновя ядрото, хем ми се иска да разбера защо се получава така и то само на това правило :) Ама ще дебна... Аз викам да изчезне правилото и пак да продължим темата... Че така докато работи, каквото и да правя - идея си нямам дали касае ситуацията. Като се сгъбяса мога всякакви изходи да дам :) Титла: Re: iptables забравя НАТ-а Публикувано от: tolostoi в Apr 21, 2014, 17:38 Тоя снорт какво може да прави? Да пише правила и да подава на ядрото какво да прави?
Аз също си мислех, че е нещо от ядрото, случва се примерно флууд или нещо некоректно и ядрото реагира по някакъв начин, подобни неща са ми се случвали, но винаги на домашния рутер и там нямам мерак да изследвам кое какво и как, сменям я карта я рам и се оправя. Е ти имаш възможност да разбереш какво е :) Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 21, 2014, 17:46 Тоя snort само анализира и с barnyard2 пише в базата данни...
И мен много ме съмнява ядрото, ама ще почакам да сгъбяса да видим дали е от него, преди да го обновя :) Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 21, 2014, 18:09 Тоя snort само анализира и с barnyard2 пише в базата данни... Искам да кажа че няма нерви по отношение на какво и да било извинявам се, ако така се е подразбрало, помислих си, че не си пейстнал всички правила и заради това направих забележката. Сложи ли правилата за forward, след правилата за prerouting, които ти написах ? Общо взето имам забележка за целия ти скрипт най-малкото всички политики са ти на ACCEPT, т.е. в случая правиш чист рутинг без да защитиш и 2-те локални мрежи, което за мен честно казано си е пълно безумие. P.S. Това ми прилича като да имаш инсталиран windows на някаква машина с 3 мрежови карти, на който да пуснеш Internet connection sharing и след това да му спреш firewall-a, можеш ли да се сетиш какво ще се случи след това ? Или иначе казано все едно някаква готина мацка да отиде полусъблечена в някакво негърско гето по прашки и сутиен и да тръгне да си маха първо сутиена, нали се сещаш какво ще и се случи след това .... ? Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 21, 2014, 19:10 В интерес на истината това е временно явление и не съм си играл да изграждам кой знае какъв фаеруол, тъй като машината скоро ще си заминава и на нейно място ще има друга :) Просто ми стана интересно що гърми така.
Не, не съм сложил правилата защото чакам да се сгъбяса за да разберем евентуално защо го прави :) П.С. ако имаш нещо готово на iptables и ти се иска да го споделиш, няма да имам нищо против! Титла: Re: iptables забравя НАТ-а Публикувано от: edmon в Apr 22, 2014, 21:19 :) ехехех аз ти казвам, че е от слакуера, сложи ги тия правила на друг линукс и ще видиш, че съм прав :) хехехехеехех
ПС. Получава се интересна тема, особено, когато някой чел-недочел мненията почне да се чуди на очевадни неща :))) Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 22, 2014, 23:06 В интерес на истината това е временно явление и не съм си играл да изграждам кой знае какъв фаеруол, тъй като машината скоро ще си заминава и на нейно място ще има друга :) Просто ми стана интересно що гърми така. Ще дадеш ли изход от : Код: uname -a Код: which iptables Код: ifconfig -a Код: cat /etc/slackware-version Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 23, 2014, 09:16 Код: Linux novotechprom.com 3.2.29 #2 SMP Mon Sep 17 14:19:22 CDT 2012 x86_64 Intel(R) Xeon(R) CPU E5450 @ 3.00GHz GenuineIntel GNU/Linux /usr/sbin/iptables http://pastebin.com/6NF5hXWk Slackware 14.0 (Хъм останах с впечатлението че е 14.1... ) Титла: Re: iptables забравя НАТ-а Публикувано от: petar258 в Apr 23, 2014, 18:05 Преди доста време от заниманията ми със Слак забелязах че трябва да се заредят някои основни модули за iptables в някой стартов скрипт(примерно rc.local) преди правилата, иначе някои правила не се зареждат при стартиране. Не помня точно кои бяха но нещо подобно на ip_firewall, ip_nat, ip_conntrack ...
Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 24, 2014, 18:24 Днес спря! [_]3
Така, какво се е случило до сега: 1-во нямах интернет за около 5 мин, проблем с доставчика. След което правилата спряха да работят. Какво установих: Правилата с iptables -L -xvn си ги има във веригата и пристигат пакети обаче не се NAT-ват към вътрешния адрес и отвън порта си ми остава 9913/tcp filtered Код: iptables -L -v -n Код: iptables -t nat -L Пробвах форсирано да махна и заредя модулите ip_tables, ip_conntrack, iptables_nat но успех не пожънах :) До тук изброените действия и предложение не помагат... Преди да престъпя към обновяване на ядрото ще съм благодарен за още някое предложение... Титла: Re: iptables забравя НАТ-а Публикувано от: BRADATA в Apr 24, 2014, 18:43 Правилото в нат таблицата по този начин ли изглежда? С ДНС име?
Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 24, 2014, 18:58 При това да, това е IP-то в къщи, но някои си ги има и нормално само с IP адрес, но и от тях ми дава filtered
P.S. сега правя фаеруола по-читаво и да зарежда модулите та да видим какво ще излезе :) Титла: Re: iptables забравя НАТ-а Публикувано от: BRADATA в Apr 24, 2014, 20:47 А интернета по какво идва? Мрежовия интерфейс разкачал ли се е?
Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 24, 2014, 20:53 Оптика до медиа конвертор, а от там с пач кабел до сървъра.
Не нямаше Gateway по едно време, явно им беше паднал сървъра... Каквото и да направя обаче няма резултат. Ще сменям ядрото и ще ви кажа... П.С. в iptables има ли начин да се зададе за всички интерфейст -i ppp* с една дума. Че pptp си прави отделен интерфейст за всяка връзка, а ми се иска да сложа малко правила :) Едит: Ааа било с ppp+ :) [_]3 Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 24, 2014, 22:43 Оптика до медиа конвертор, а от там с пач кабел до сървъра. На мен не ми стана ясно по какъв начин зареждаш модулите за ip_conntrack и пр. ? Даваш някаква оскъдна информация, от която нищо не става ясно после искаш да ти се помогне е няма как да станат нещата. П.П. Сетих се нещо я с пуснати правила и прочее дай изход от : Код: lsmod Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 24, 2014, 23:10 Код: /sbin/modprobe ip_tables съответно rmmod -f lsmod http://pastebin.com/cFWynFWF Въпреки, че това вече го сверявах... Оскъдна информация? Ами аз ако знам къде е проблема точно за да дам конкретна информация, щеше да е супер! Не е в модулите към ядрото, защото след rmmod -f и modprobe трябваше да тръгнат нещата. А и с lsmod съм следил дали са заредени - е там са си. Не е и в дефинирането на веригите в фаеруола защото нямаше да върви изобщо, а не да се издухва при определени положения. След флушвана на таблицата също няма промяна При ifconfig eth+ up/down също няма промяна При пренабиване на адресите на интерфейсите - няма промяна В логовете - нищо Сравнявах веригите преди и след като спря с -L няма промени и всичко си е по мястото От гейта достъпвам порта на вътрешния комп Извън локалната порта е филтриран С tcpdump виждам, че пакетите стигат до сървъра но той не ги натва защото отсреща с tcpdump не логва нищо Всичко привидно си работи нормално Snort а и tcpdump не дават индикации за флууд Нямам шизофренически наклонности [_]3 Със сигурност се случва! Съмняваме ме единствено sysctl да модифицира параметрите по някаква причина или самото ядро да има някакъв бъг. Въпреки, че с cat съм прегледал почти всичко в /proc/sys/net/ що за параметри има подадени Ето и проментите по фаеруола и с него не работеше (след рестарт работи отново) http://pastebin.com/0YgmiBzf Та сега ми кажи как да ти дам информация, която да е по темата при условие, че идея си нямам какво и как се случва? Днес ме хвана мързела, ама утре ще сменям ядрото, защото за мен само там се случва нещо не по реда си. Върти ми се из главата да няма някоя счупена плочка RAM, ама все щеше да даде индикация... Утре ще пусна и един Memtest за всеки случай. Извинявай, ама не искам да Ви губя времето и далеч съм от мисълта да крия нещо (не работя във ФБР), просто не смятам за необходимо да пускам информация за неща, които нямат нещо свързано по мое мнение :) Най-малкото поредица по махане и зареждане на модули в ядрото... А за да ми е още по-весело, някакъв си CISCO или Mikrotik рутер, с някакво си измислено IP прави марсиански трафик, а аз CISCO рутер или Mikrotik на тоя интерфейс нямам! martian source 192.168.252.142 from 192.168.252.129, on dev eth2 Код:
Май ще трябва да ходя да откачам кабели по трасето утре... А иначе тъй като рестартирах вече, то утре ще симулирам спиране на интернета та да видя дали от там се случва това... И ще драсна... Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 25, 2014, 00:07 Хъм не мога да преценя с тоя пуснат virtualbox виртуална машина има инсталирана на слакуера или самият той е под виртуална машина ? Защото ако е под виртуалка и е зад NAT и не си му дал пренасочване на портове няма как да се случат нещата при положение че модулите за NAT са ти заредени както трябва поне така ми изглежда изхода от lsmod.
Другото, което се сещам е да добавиш : Код: iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j SNAT -o eth0 --to-source $IP Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 25, 2014, 00:10 Не, на виртуалката щях да слагам 2008 сървър да тествам едни работи, но така и не я пуснах... Което ме навежда на мисълта, че бива да я разкарам [_]3
P.S. dmesg http://pastebin.com/dQvjXBpj Във syslog освен DHCP leases и марсианския трафик друго фрапантно няма Хъм, обаче сега виждам в dmesg, че има проблем с ACPI-то... дали е възможно при падане на мрежата да кара нещо ядрото да откача? Правилото съм го добавил в новия скрипт след забележката :) $IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_ADDRESS Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 25, 2014, 00:28 Лелее като гледам колко грешки дава със зареждането БИОС-а, а флашван ли е какво е положението ти ще кажеш !
И с риск че се повтарям защото може да не си видял предишния ми пост я добави в скрипта на iptables: Код: iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j SNAT -o eth0 --to-source $IP Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 25, 2014, 00:31 Лелее като гледам колко грешки дава със зареждането БИОС-а, а флашван ли е какво е положението ти ще кажеш ! П.П. Върнах се на първите ти постове тоя snort само за IDS или и за IPS служи в смисъл да не блокира входящите, защото ги възприема като аномалия в протокола ? П.П. Модераторите извинявайте направих грешка сам се цитирах чак ми стана смешно ;D Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 25, 2014, 00:37 В интерес на истината не съм го барал - така го заварих.
Ще пробвам да видя дали случайно няма по-нова версия да го обновя, но ме съмнява да си губи НАТ-а заради грешки в биоса... По-скоро изпитвам съмнения за ACPI-то, но така или инак ще видим, след обновяване на биос-а. Снорт е само IDS и зяпам от време на време в snorby за вируси из мрежата.. Главно го бях сложил да логва conficker, че си имах големи ядове с него докато го разкарам... Титла: Re: iptables забравя НАТ-а Публикувано от: KPETEH в Apr 25, 2014, 00:52 В интерес на истината не съм го барал - така го заварих. Добре вярвам ти че си сложил правилото и виждам че си го променил според твоите описания за iptables, защото аз гледам правилата които си задал в pastebin а те явно са старички и са претърпяли промяна :) та мисълта ми е остави го да поработи така и виж дали пак ще се издъни. Конфикъра е голяма гад признавам бута се навсякъде само да напипаше уиндоусче и айдееее поизчистен е малко от малко но си съществува и си вирее в мрежата по принцип. Може да си пробваш мрежата с nmap за да си спокоен: Код: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.0.1-254 Титла: Re: iptables забравя НАТ-а Публикувано от: 10101 в Apr 25, 2014, 09:04
На първо четене е микротик, 8291 е стандартният порт на winbox-a, за управление на борда. Пробвай с един winbox... за 100 % сигурност. Поздрави, Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 25, 2014, 11:10 То и да пробвам смисъл няма да има, защото порта е филтриран, ама ей сега отивам да откачам кабели да видя кой са е закачил illegal от моите колегиални шматки :)
Титла: Re: iptables забравя НАТ-а Публикувано от: edmon в Apr 25, 2014, 12:09 За слака само се шегувам, нали е "най-истинският" линукс...:)
по темата що не пробваш следното нещо... гледам имаш скрипт, който прави 50 "безмислени" правила, които ако ги махнеш няма да ти се наруши сигурността. та така разкарай всичките глупости по модули и сисктл от скрипта и ги сложи в някво рц.локал не се ли предполага, че трябва да работят всеки път. после си разкарай всички правила за привидна сигурност, като тези за АУТПУТ-а и за класфул файруола, за лоши опакети и тн. така ще стигнеш до чисти правила само за това което наистина се случва...и да блокираш порт , на който няма нищо, и да не го блокираш резултата е един и същ. И тогава, когато нещата почнат да работят добавяй вече тия хиляди правила за лоши пакети, за изходящи заявки и тн. и тн. от тях явно няма да се откажеш щом си наплющял такъв скрипт :) Титла: Re: iptables забравя НАТ-а Публикувано от: runtime в Apr 25, 2014, 13:55 За слака само се шегувам, нали е "най-истинският" линукс...:) Линукса си е един и същ защото се позва ядро и приложен софтуер, който в случая дали ще го наречеш Ubuntu, Cent OS и т.н. няма значение... Въпрос на подбор на версии е, но както и да е. Инак мерси за предложението, но и с 3 правила беше същата работа. Сега обнових ядрото и биоса, който беше от 2008 г. та последния е от 2011 и повечето неща изчезнаха от dmesg... Сега да видим след някой ден какво ще се случи :) Титла: Re: iptables забравя НАТ-а Публикувано от: edmon в Apr 25, 2014, 19:06
така така ... мисли за приложният софтуер, кърнел всички си имат :) |