Тема: Arp проблеми (Прочетена 3645 пъти)

never_mind · « **Отговор #15 -:** Apr 29, 2007, 10:38 »

Въведох го правилото, но то ще се изпълни само ако пакета не е от мрежа 144. или 143. нали? Това как ще ми спре пакетите от 143. пак да излизат от време на време?

Примерен код

-A eth2_masq -s 192.168.144.0/255.255.255.0 -m policy --dir out --pol none -j MASQUERADE
-A eth2_masq -s 192.168.143.0/255.255.255.0 -m policy --dir out --pol none -j MASQUERADE
-A eth2_masq -s 192.168.0.0/255.255.0.0 -j DROP

p.s Мне, пак не става....

tcpdump -n -s 1500 -vvv -e -i eth2 ether src host 00:0B:6A:B6:9A:51 and src net 192.168.0.0/16
tcpdump: listening on eth2, link-type EN10MB (Ethernet), capture size 1500 bytes
12:51:25.336770 00:0b:6a:b6:9a:51 > 00:30:48:8d:2f:b9, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 127, id 53248, offset 0, flags [DF], proto: TCP (6), length: 40) 192.168.143.2.23080 > 82.77.18.223.1875: F, cksum 0xc357 (correct), 2447601630:2447601630(0) ack 1208257703 win 65467
12:52:06.239291 00:0b:6a:b6:9a:51 > 00:30:48:8d:2f:b9, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 127, id 53272, offset 0, flags [DF], proto: TCP (6), length: 40) 192.168.143.2.23080 > 82.77.18.223.2037: F, cksum 0x296a (correct), 2795668862:2795668862(0) ack 3792593289 win 65467
13:06:20.051024 00:0b:6a:b6:9a:51 > 00:30:48:8d:2f:b9, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 127, id 14922, offset 0, flags [DF], proto: TCP (6), length: 40) 192.168.143.2.23080 > 82.77.18.223.1085: F, cksum 0x6881 (correct), 985780358:985780358(0) ack 1259527679 win 65467

и още 2 докато браузвам под вътрешния дебиан

13:31:19.017017 00:0b:6a:b6:9a:51 > 00:30:48:8d:2f:b9, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 10621, offset 0, flags [DF], proto: TCP (6), length: 52) 192.168.144.2.33409 > 64.124.204.232.80: F, cksum 0x6794 (correct), 3819647837:3819647837(0) ack 4282159949 win 432 <nop,nop,timestamp 489605 37816374>
13:33:16.514133 00:0b:6a:b6:9a:51 > 00:30:48:8d:2f:b9, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 10622, offset 0, flags [DF], proto: TCP (6), length: 52) 192.168.144.2.33409 > 64.124.204.232.80: F, cksum 0xf4d3 (correct), 0:0(0) ack 1 win 432 <nop,nop,timestamp 518981 37816374>

I give up ....

VladSun · « **Отговор #16 -:** Apr 29, 2007, 14:44 »

Цитат (never_mind @ Април 29 2007,10:38)

Въведох го правилото, но то ще се изпълни само ако пакета не е от мрежа 144. или 143. нали? Това как ще ми спре пакетите от 143. пак да излизат от време на време?

Напротив - последното правило ти спира пакетите от цялата 192.168.0.0/16 мрежа.

Имам въпрос: за какво са тия IPSEC match-ове (--dir, --pol)?

voyager · « **Отговор #17 -:** Apr 29, 2007, 15:40 »

Ок, а пробва ли да правиш SNAT вместо MASQUARADE?

Доколкото съм запознат, MASQUARADE беше стария начин.. вече всичко е [S|D]NAT.

Пробвай нещо от сорта:

iptables -t nat -A POSTROUTING -s $INT_NET -o $OUT_IF -j SNAT --to-source $EXT_IP

и сподели каква е хавата. Успех!

пп: И наистина, VladSun задава много основателен въпрос... възможно е първия пакет да не попада в правилото което трябва, а просто да се форуардва без да му се прави никаква транслация (което се наблюдава). Пробвай и да ги разкараш. Колкото по-малко, по-прости и чисти правила толкова по-добре

'>

never_mind · « **Отговор #18 -:** Apr 29, 2007, 19:33 »

Еми не мога SNAT, понеже IP-то ми се мени постоянно... значи правилата ми са генерирани от shorewall, понеже ми беше по-лесно с него. Сега вече съм прочел доста за iptables и ще направя мой си скрипт с по-малко глупости вътре...

never_mind · « **Отговор #19 -:** Apr 30, 2007, 20:43 »

Примерен код

# Generated by iptables-save v1.3.6 on Mon Apr 30 20:37:14 2007
*raw
:PREROUTING ACCEPT [3169194:2290115178]
:OUTPUT ACCEPT [119768:115928510]
COMMIT
# Completed on Mon Apr 30 20:37:14 2007
# Generated by iptables-save v1.3.6 on Mon Apr 30 20:37:14 2007
*nat
:PREROUTING ACCEPT [34634:3698652]
:POSTROUTING ACCEPT [35722:4341001]
:OUTPUT ACCEPT [123:24265]
-A PREROUTING -p tcp -m tcp --dport 23080 -j DNAT --to-destination 192.168.143.2
-A PREROUTING -p udp -m udp --dport 23080 -j DNAT --to-destination 192.168.143.2
-A POSTROUTING -s 192.168.143.0/255.255.255.0 -o eth2 -j MASQUERADE
-A POSTROUTING -s 192.168.144.0/255.255.255.0 -o eth2 -j MASQUERADE
COMMIT
# Completed on Mon Apr 30 20:37:14 2007
# Generated by iptables-save v1.3.6 on Mon Apr 30 20:37:14 2007
*mangle
:PREROUTING ACCEPT [3169209:2290115970]
:INPUT ACCEPT [109950:15246625]
:FORWARD ACCEPT [3048348:2273987045]
:OUTPUT ACCEPT [119785:115930834]
:POSTROUTING ACCEPT [3168107:2389943102]
-A PREROUTING -i eth2 -j TTL --ttl-inc 1
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth2 -j TTL --ttl-set 64
COMMIT
# Completed on Mon Apr 30 20:37:14 2007
# Generated by iptables-save v1.3.6 on Mon Apr 30 20:37:14 2007
*filter
:INPUT DROP [0:0]
:FORWARD DROP [142:8865]
:OUTPUT ACCEPT [119576:115907758]
:valid-dst - [0:0]
:valid-src - [0:0]
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23080 -j ACCEPT
-A INPUT -p udp -m udp --dport 23080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 13333:13334 --tcp-flags SYN,ACK SYN -j ACCEPT
-A INPUT -p udp -m udp --dport 13333:13334 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags SYN,ACK SYN -m limit --limit 5/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK SYN -m limit --limit 3/sec -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.143.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -s 192.168.144.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -i eth2 -j valid-src
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -j ACCEPT
-A FORWARD -i eth2 -j valid-src
-A FORWARD -o eth2 -j valid-dst
-A FORWARD -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.144.0/255.255.255.0 -d 192.168.143.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
-A OUTPUT -o eth2 -j valid-dst
-A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 192.168.143.0/255.255.255.0 -o eth1 -j ACCEPT
-A OUTPUT -d 192.168.144.0/255.255.255.0 -o eth0 -j ACCEPT
-A valid-src -s 10.0.0.0/255.0.0.0 -j REJECT --reject-with icmp-port-unreachable
-A valid-src -s 172.16.0.0/255.240.0.0 -j REJECT --reject-with icmp-port-unreachable
-A valid-src -s 192.168.0.0/255.255.0.0 -j REJECT --reject-with icmp-port-unreachable
-A valid-src -s 224.0.0.0/240.0.0.0 -j REJECT --reject-with icmp-port-unreachable
-A valid-src -s 240.0.0.0/248.0.0.0 -j REJECT --reject-with icmp-port-unreachable
-A valid-src -s 127.0.0.0/255.0.0.0 -j REJECT --reject-with icmp-port-unreachable
-A valid-src -j REJECT --reject-with icmp-port-unreachable
COMMIT

Пренаписах всичко, по просто от това не може... аре ся ми кажете къде бъркам в правилата, че изпускам пакети без да са НАТ-нати... Ще взема да си компилирам последното ядро, да не би да е бъг в него...

Автор Тема: Arp проблеми (Прочетена 3645 пъти)