Ho bisogno di un aiuto per un problema che non riesco a risolvere.
Se clickate in firma, vedrete che sto lavorando su un router con risorse molto limitate.
Partiamo dal presupposto che questo router attualmente utilizza un firewall + NAT closed.

Io devo riuscire a sostituire a questo firewall closed un firewall basato su iptables.
L'idea era quella di rimuovere il modulo del firewall closed, installo i moduli di iptables e poi configuro iptables. Peccato che non sia riuscito a venirne a capo.

Ecco i moduli che installo (ho preso ispirazione da un kernel di un router già configurato con iptables):

rmmod acos_nat.ko
insmod /tmp/mod/modfs/firewall_modules/nf_conntrack.ko
insmod /tmp/mod/modfs/firewall_modules/nf_conntrack_ipv4.ko
insmod /tmp/mod/modfs/firewall_modules/nf_nat.ko
insmod /tmp/mod/modfs/firewall_modules/x_tables.ko
insmod /tmp/mod/modfs/firewall_modules/nf_conntrack_ftp.ko
insmod /tmp/mod/modfs/firewall_modules/nf_conntrack_h323.ko
insmod /tmp/mod/modfs/firewall_modules/nf_conntrack_tftp.ko
insmod /tmp/mod/modfs/firewall_modules/xt_CLASSIFY.ko
insmod /tmp/mod/modfs/firewall_modules/xt_MARK.ko
insmod /tmp/mod/modfs/firewall_modules/xt_dscp.ko
insmod /tmp/mod/modfs/firewall_modules/xt_limit.ko
insmod /tmp/mod/modfs/firewall_modules/xt_mac.ko
insmod /tmp/mod/modfs/firewall_modules/xt_mark.ko
insmod /tmp/mod/modfs/firewall_modules/xt_tcpmss.ko
insmod /tmp/mod/modfs/firewall_modules/xt_state.ko
insmod /tmp/mod/modfs/firewall_modules/xt_multiport.ko
insmod /tmp/mod/modfs/firewall_modules/xt_tcpudp.ko
insmod /tmp/mod/modfs/firewall_modules/ip_tables.ko
insmod /tmp/mod/modfs/firewall_modules/ipt_LOG.ko
insmod /tmp/mod/modfs/firewall_modules/ipt_MASQUERADE.ko
insmod /tmp/mod/modfs/firewall_modules/ipt_REDIRECT.ko
insmod /tmp/mod/modfs/firewall_modules/ipt_iprange.ko
insmod /tmp/mod/modfs/firewall_modules/ipt_addrtype.ko
insmod /tmp/mod/modfs/firewall_modules/iptable_filter.ko
insmod /tmp/mod/modfs/firewall_modules/iptable_mangle.ko
insmod /tmp/mod/modfs/firewall_modules/iptable_nat.ko
insmod /tmp/mod/modfs/firewall_modules/nf_nat_ftp.ko
insmod /tmp/mod/modfs/firewall_modules/nf_nat_tftp.ko
insmod /tmp/mod/modfs/firewall_modules/nf_nat_h323.ko

Considerate che il kernel di suo aveva solo abilitato il nat semplice.

E questo è lo script per far avviare il NAT:

#!/bin/sh
IPTABLES='iptables'

# Set interface values
EXTIF='pppoa0'
INTIF='br0'

# enable ip forwarding in the kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

# flush rules and delete chains
#$IPTABLES -F
#$IPTABLES -X

#Enable masquerading to allow LAN internet access
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

#Forward LAN traffic from LAN $INTIF to Internet $EXTIF
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT

# block out all other Internet access on $EXTIF
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP

Ho cercato qualcosa di minimale proprio per fare i primi test. A me sembra tutto corretto. Ovviamente il NAT da br0 a pppoa0 non viene fatto. Vedo inoltre che il ping dalla shell del router verso internet funziona, ma la risoluzione DNS no.

Sapete dirmi quali test fare e come muovermi ?

iptables -F
iptables -t nat -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

Nelle tue regole mancava l'accept in forward da ppp0 verso l'interfaccia interna.

P.S.
Ci sono interfacce in bridging nel router?

Sì br0 sono più interfacce in bridging (WLAN e LAN). L'interfaccia ppp è pppoa0 o ppp0 a seconda se siamo connessi in pppoe o pppoa.

192.168.1.0/24 mi immagino che sia la LAN, giusto ? Al posto di questo è possibile specificare direttamente br0 ?

Niente da fare, arrivato a iptables -P INPUT DROP ovviamente mi blocca l'accesso, ma non me lo ristabilisce più. Ho provato anche a lanciarlo automaticamente al boot, nessun errore e nessun output.


iptables -F

iptables -t nat -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A FORWARD -i eth1 -o pppoa0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o pppoa0 -j MASQUERADE

Sai per caso se si può sapere la lista dei moduli del kernel necessaria ad effettuare queste operazioni base senza che ci sia anche il minimo supporto da parte del kernel ? Non vorrei essermi perso qualche modulo.

Questa è la lista di moduli che ho a disposizione:

./ebtable_broute.ko
./ebtable_filter.ko
./ebtable_nat.ko
./ebtables.ko
./ebt_ftos.ko
./ebt_ip.ko
./ebt_mark.ko
./ebt_time.ko
./ebt_vlan.ko
./ebt_wmm_mark.ko
./ip_queue.ko
./iptable_filter.ko
./iptable_mangle.ko
./iptable_nat.ko
./ip_tables.ko
./ipt_addrtype.ko
./ipt_iprange.ko
./ipt_LOG.ko
./ipt_MASQUERADE.ko
./ipt_REDIRECT.ko
./nf_conntrack_ftp.ko
./nf_conntrack_h323.ko
./nf_conntrack_ipsec.ko
./nf_conntrack_ipv4.ko
./nf_conntrack_irc.ko
./nf_conntrack.ko
./nf_conntrack_pptp.ko
./nf_conntrack_proto_esp.ko
./nf_conntrack_proto_gre.ko
./nf_conntrack_sip.ko
./nf_conntrack_tftp.ko
./nf_nat_ftp.ko
./nf_nat_h323.ko
./nf_nat_irc.ko
./nf_nat.ko
./nf_nat_pptp.ko
./nf_nat_proto_gre.ko
./nf_nat_pt.ko
./nf_nat_sip.ko
./nf_nat_tftp.ko
./nfnetlink.ko
./ts_bm.ko
./ts_fsm.ko
./ts_kmp.ko
./xfrm_user.ko
./x_tables.ko
./xt_CLASSIFY.ko
./xt_dscp.ko
./xt_DSCP.ko
./xt_limit.ko
./xt_mac.ko
./xt_mark.ko
./xt_MARK.ko
./xt_multiport.ko
./xt_SKIPLOG.ko
./xt_state.ko
./xt_string.ko
./xt_tcpmss.ko
./xt_TCPMSS.ko
./xt_tcpudp.ko

Lascia perdere i moduli, il problema è un altro ed è nella logica del firewall.
Se hai interfacce in bridging e una policy di drop dovrai permettere esplicitivamente il traffico da e verso i bridge. Usa questa regola:

iptables -A FORWARD -m physdev --physdev-is-bridged -j ACCEPT

Ovviamente ti serve physdev.

192.168.1.0/24 mi immagino che sia la LAN, giusto ? Al posto di questo è possibile specificare direttamente br0 ?

A meno di markare i pacchetti non mi pare...

Il bello è che non lo trovo nella configurazione del kernel. Dovrebbe essere in Core netfilter -> "phisdev" match support.
C'è qualche altra dipendenza per poterlo abilitare ? Il kernel è il 2.6.20.

Trovato come sbloccarlo ;)
Però non mi spiego perché non sia presente sul DGN3500, anche lui con l'interfaccia bridge br0 e con il kernel 2.6.20 (qui c'è il dump di iptables (http://www.hwupgrade.it/forum/showpost.php?p=34034561&postcount=3))

Edit: :muro:

/tmp/mod/modfs # lsmod physdev | grep physdev
xt_physdev 2368 0
x_tables 13200 18 iptable_nat,ipt_addrtype,ipt_iprange,ipt_REDIRECT,ipt_MASQUERADE,ipt_LOG,ip_tables,xt_physdev,xt_tcpudp,xt_multiport,xt_state,xt_tcpmss,xt_mark,xt_mac,xt_limit,xt_dscp,xt_MARK,xt_CLASSIFY
/tmp/mod/modfs # iptables -A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
iptables v1.3.8: Couldn't find match `physdev'

Try `iptables -h' or 'iptables --help' for more information.

Comunque mi sembra di capire che senza policy di BLOCK dovrebbe comunque funzionare. Giusto ? Quindi ci dovrebbe essere qualcos'altro che impedisce l'uso del NAT. Il bello è che netfilter sembra funzionare, visto che tiene traccia delle connessioni, ma solo in uscita. Sembra proprio che sia il NAT a non funzionare.
Si potrebbe capire qualcosa di più spulciando in /proc/net ?

Però non mi spiego perché non sia presente
Probabile che usi ebtables o che non permetta di impostare una policy di block in forward...

Comunque mi sembra di capire che senza policy di BLOCK dovrebbe comunque funzionare. Giusto ?
Sì, l'importante è non avere una policy di block in forward.
Purtroppo non mi è mai capitato di dover fare debugging del nat, quindi non saprei come aiutarti...

Però la setta: iptables -P FORWARD DROP :boh:

Cionci,

mi potresti postare l'output dei seguenti comandi:

iptables -t filter -nvL --line-numbers
iptables -t nat -nvL --line-numbers
iptables -t mangle -nvL --line-numbers
iptables -t raw -nvL --line-numbers

cosi vedo come la tabella è memorizzata nel sistema e l'ordine delle regole

Ciao

Appena tiro su nuovamente i moduli...

Tra l'altro sonoa nche andato avanti, nel senso che ho eliminato il bridging ed usato direttamente eth0, ma il problema permane, quindi non è da attribuire al modulo physdev.

Io proverei a lanciare i seguenti comandi

#Abilita ip forwarding nel kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

#Cancella tutte le regole
iptables -t filter -F
iptables -t nat -F

#Apertura del firewall (default policy)
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Aggiunge log di debug
iptables -A INPUT -j LOG --log-level debug --log-prefix "LOG_INPUT"
iptables -A OUTPUT -j LOG --log-level debug --log-prefix "LOG_OUTPUT"
iptables -A FORWARD -j LOG --log-level debug --log-prefix "LOG_FORWARD"

#Aggiunge regole di forward
iptables -A FORWARD -i $INTIF -j ACCEPT
iptables -A FORWARD -o $INTIF -j ACCEPT

#Abilita la NAT
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

-------------------------------------------

Con queste regole mi aspetto:

1) che dal Router riesci a connetterti all'esterno/interno della rete.

2) che un PC interno alla rete riesce a connettersi sia al router che all'esterno.