Iptables + Squid: alcuni problemi

[Gimli[2BV!2B]]

Nuova ipotesi per eMule: forse rimbalza i pacchetti all'ingresso... (se lo provi ti chiederei di abbinarlo al mio precedente suggerimento, specifica almeno a quale indirizzo arrivano alle porte)

Codice:

$IPT -A INPUT -p tcp --dport 4662 -j ACCEPT
$IPT -A INPUT -p udp --dport 4672 -j ACCEPT

In ogni caso un bel "debugging" come consigliato da _YTS_ darebbe qualche indizio.

[supermario]

wow quante nozioni

provo a fare il DNAT semplice sul mio pc e vediamo se cambia nulla!

eventualmente comincio col log

ho solo un dubbio

l'interfaccia BAD cosa è?

[supermario]

edit:
ho cancellato quello che avevo scritto prima...in sostanza loggando tutte le catene del mio firewall ecco cosa genera una richiesta di controllo delle porte del sito di adunanza

[ Scarti: net-server ]IN=eth1 OUT= MAC=00:19:e0:0c:d9:99:00:90:1a:41:04:36:08:00 SRC=28.255.126.203 DST=28.255.248.199 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=36608 DF PROTO=TCP SPT=1119 DPT=1433 WINDOW=53760 RES=0x00 SYN URGP=0
[ Scarti: server-lan ]IN= OUT=eth0 SRC=192.168.1.1 DST=192.168.1.255 LEN=242 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=222
[ Scarti: net-lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=55788 DF PROTO=TCP SPT=2912 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
[ Scarti: net-lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=55815 DF PROTO=TCP SPT=2912 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
[ Scarti: net-lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=56198 DF PROTO=TCP SPT=2912 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
[ Scarti: net-lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=32 TOS=0x00 PREC=0x00 TTL=117 ID=12512 PROTO=UDP SPT=2918 DPT=4672 LEN=12
[ Scarti: net-server ]IN=eth1 OUT= MAC=00:19:e0:0c:d9:99:00:90:1a:41:04:36:08:00 SRC=38.99.76.241 DST=28.255.248.199 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=29682 DF PROTO=TCP SPT=80 DPT=4431 WINDOW=5840 RES=0x00 ACK URGP=0
[ Scarti: net-server ]IN=eth1 OUT= MAC=00:19:e0:0c:d9:99:00:90:1a:41:04:36:08:00 SRC=38.99.76.241 DST=28.255.248.199 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=29688 DF PROTO=TCP SPT=80 DPT=4431 WINDOW=17940 RES=0x00 ACK URGP=0

[_YTS_]

ciao

[ Scarti: net-lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=55788 DF PROTO=TCP SPT=2912 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0

[ Scarti: net-lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=32 TOS=0x00 PREC=0x00 TTL=117 ID=12512 PROTO=UDP SPT=2918 DPT=4672 LEN=12

ecco!

stai scartando sull'interfaccia eth1 un pacchetto che vuole andare sulla porta
DPT=4662 sull'interfaccia della lan, in pratica un pacchetto in forwarding.

devi abilitare nella catena net-lan:

iptables -A net-lan -p tcp -d 192.168.1.2 --dport 4662 -j ACCEPT
iptables -A net-lan -p udp -d 192.168.1.2 --dport 4672 -j ACCEPT


i log parlano sempre chiaro.

saluti.

[supermario]

che poi è praticamente quello che facevo io nel mio script

Quote:

#Apro porte Emule a Mario
$IPT -A FORWARD -p tcp -i $NET --dport 4662 -d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET --dport 4672 -d 192.168.1.2 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to-dest 192.168.1.2:4662
$IPT -t nat -A PREROUTING -p udp --dport 4672 -j DNAT --to-dest 192.168.1.2:4672

infatti non va

Mar 8 22:56:36 server kernel: [ Scarti: net_to_lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=28507 DF PROTO=TCP SPT=4079 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Mar 8 22:56:39 server kernel: [ Scarti: net_to_lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=28590 DF PROTO=TCP SPT=4079 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Mar 8 22:56:45 server kernel: [ Scarti: net_to_lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=28917 DF PROTO=TCP SPT=4079 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Mar 8 22:56:57 server kernel: [ Scarti: net_to_lan ]IN=eth1 OUT=eth0 SRC=1.244.156.138 DST=192.168.1.2 LEN=32 TOS=0x00 PREC=0x00 TTL=117 ID=50458 PROTO=UDP SPT=4081 DPT=4672 LEN=12

[_YTS_]

ciao
sono incomplete:

$IPT -A FORWARD -p tcp -i $NET -o $LAN --dport 4662 -d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET -o $LAN --dport 4672 -d 192.168.1.2 -j ACCEPT

il forward ha bisogno delle 2 schede.

riprova.

[Shang Tsung]

Quote:

Originariamente inviato da supermario

wow quante nozioni

provo a fare il DNAT semplice sul mio pc e vediamo se cambia nulla!

eventualmente comincio col log

ho solo un dubbio

l'interfaccia BAD cosa è?

ma hai provato prima di tutto a fare come ti avevo proposto?
per vedere se almeno le porte erano ok?

[Shang Tsung]

Quote:

Originariamente inviato da _YTS_

ciao
sono incomplete:

$IPT -A FORWARD -p tcp -i $NET -o $LAN --dport 4662 -d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET -o $LAN --dport 4672 -d 192.168.1.2 -j ACCEPT

il forward ha bisogno delle 2 schede.

riprova.

Ciao sai rispondere alla domanda che ho fatto prima?
Ossia si può forwardware la stessa porta a più indirizzi ip come avrebbe intenzione di fare supermario???

[supermario]

Quote:

Originariamente inviato da _YTS_

ciao
sono incomplete:

$IPT -A FORWARD -p tcp -i $NET -o $LAN --dport 4662 -d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET -o $LAN --dport 4672 -d 192.168.1.2 -j ACCEPT

il forward ha bisogno delle 2 schede.

riprova.

idem, non va.

comincio a incazzarmi e soprattutto a pensare che sto iptables non vada di suo

Quote:

Originariamente inviato da Shang Tsung

ma hai provato prima di tutto a fare come ti avevo proposto?
per vedere se almeno le porte erano ok?

ma in che senso le porte sono ok?

attualmente ho solo queste righe

Codice:

$IPT -A FORWARD -p tcp -i $NET -o $LAN --dport 4662 -d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET -o $LAN --dport 4665-d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET -o $LAN --dport 4672 -d 192.168.1.2 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp -i $NET --dport 4662 -j DNAT --to 192.168.1.2:4662
$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4665 -j DNAT --to 192.168.1.2:4665
$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4672 -j DNAT --to 192.168.1.2:4672

e le porte non si aprono.ricevo un log simile a quello postato sopra

[_YTS_]

ciao

per Shang Tsung:

puo dnattare a n indirizzi con questa regola:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 172.16.0.2-
172.16.0.3

praticamente un bilanciamente di carico in questo caso sulla 80.

per supermario:

quando fai il prerouting poi il pacchetto arriva sull'interfaccia che ti pare.
li lo devi accettare.

Segui i log, iptables non fa come vuole lui, c e qualcosa che non torna
nel tuo script.

[supermario]

ora mi da superato...

ma è anche vero che ho aperto tutte le catene di imput, forward e output disponibili...

Codice:

#da internet verso la LAN accetto solo le connessioni related,estabilished
$IPT -A net_to_lan -j ACCEPT
$IPT -A net_to_lan -j LOG --log-prefix "[ Scarti: net_to_lan ]"
#$IPT -A net_to_lan -j REJECT

#dalla LAN permetto di uscire su tutte le porte
$IPT -A lan_to_net -j ACCEPT
$IPT -A lan_to_net -j LOG --log-prefix "[ Scarti: lan_to_net ]"
$IPT -A lan_to_net -j REJECT

#accetto tutte le connessioni fatte dalla LAN verso il server
$IPT -A lan_to_server -j ACCEPT
$IPT -A lan_to_server -j LOG --log-prefix "[ Scarti: lan_to_server ]"
$IPT -A lan_to_server -j REJECT

#accetto connessioni dal server alla lan
$IPT -A server_to_lan -j ACCEPT
$IPT -A server_to_lan -j LOG --log-prefix "[ Scarti: server_to_lan ]"
$IPT -A server_to_lan -j REJECT

#permetto al firewall che riceva le risposte
$IPT -A net_to_server -j ACCEPT
$IPT -A net_to_server -j LOG --log-prefix "[ Scarti: net_to_server ]"
$IPT -A net_to_server -j REJECT

#permetto al firewall che riceva le risposte
$IPT -A server_to_net -j ACCEPT
$IPT -A server_to_net -j LOG --log-prefix "[ Scarti: server_to_net ]"
$IPT -A server_to_net -j REJECT

inoltre ho anche commentato la policy di default DROP della catena di forward...praticamente ora ho un colapasta

quali catene blindo ora?molte prima erano con

Codice:

-m state --state ESTABLISHED,RELATED

inoltre questo codice va bene per aprire emule su tutti i pc?

Codice:

$IPT -A net_to_lan -p tcp --dport 4662 -j ACCEPT
$IPT -A net_to_lan -p udp --dport 4665 -j ACCEPT
$IPT -A net_to_lan -p udp --dport 4672 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp -i $NET --dport 4662 -j DNAT --to 192.168.1.2-192.168.1.5:4662
$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4665 -j DNAT --to 192.168.1.2-192.168.1.5:4665
$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4672 -j DNAT --to 192.168.1.2-192.168.1.5:4672

[Shang Tsung]

Quote:

Originariamente inviato da supermario

idem, non va.

comincio a incazzarmi e soprattutto a pensare che sto iptables non vada di suo



ma in che senso le porte sono ok?

attualmente ho solo queste righe

Codice:

$IPT -A FORWARD -p tcp -i $NET -o $LAN --dport 4662 -d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET -o $LAN --dport 4665-d 192.168.1.2 -j ACCEPT
$IPT -A FORWARD -p udp -i $NET -o $LAN --dport 4672 -d 192.168.1.2 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp -i $NET --dport 4662 -j DNAT --to 192.168.1.2:4662
$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4665 -j DNAT --to 192.168.1.2:4665
$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4672 -j DNAT --to 192.168.1.2:4672

e le porte non si aprono.ricevo un log simile a quello postato sopra

Supermario, non ho capito se l'hai provato o meno da quello che scrivi, mi sembra di no.


metti in uno script esattamente e solamente questo e vedi se ti da le porte aperte nel mulo, (ossia id alto, sbaglio?) , ecco cosa intendo con "le porte sono ok" (scusa forse non era chiaro)

#!/bin/bash
IPT=/sbin/iptables
NET="eth1"
LAN="eth0"
LO="lo"

#IP
IP_NET="28.255.248.199"
IP_LAN="192.168.1.1"
IP_LO="127.0.0.1"
IP_DNS1="213.156.56.80"
IP_DNS2="1.253.128.37"
RANGE_IP_LAN="192.168.1.0/24"

echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -t nat -A POSTROUTING -o $NET -s $RANGE_IP_LAN -j MASQUERADE
$IPT -t nat -A PREROUTING -p tcp -i $NET --dport 4662 -j DNAT --to 192.168.1.2:4662
$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4672 -j DNAT --to 192.168.1.2:4672

e usa chiaramente (solo) il pc con l'indirizzo 192.168.1.2

[supermario]

quello l'ho provato all'inizio, non andava nulla, ovvero il test delle porte non me lo faceva superare, altre cose non le ho viste/non sapevo cosa altro verificare

[Shang Tsung]

Quote:

Originariamente inviato da _YTS_

puoi dnattare a n indirizzi con questa regola:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 172.16.0.2-
172.16.0.3

praticamente un bilanciamento di carico in questo caso sulla 80.

Ho sempre pensato che una porta si potesse "dnattare" solamente una volta; intendo dire:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 172.16.0.2
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to 172.16.0.2
e fin qui ok
ma non, continuando l'ipotetico script, (ossia continuando da queste due righe sopra)
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to 172.16.0.3

In pratica avevo capito che, per stare all'esempio che ho fatto, non si potese dnattare la porta 25 "2 volte" ossia a due indirizzi ip diversi.

Capito cosa intendo?

Quindi invece tu mi dici che si può fare, giusto?

[Shang Tsung]

Quote:

Originariamente inviato da supermario

quello l'ho provato all'inizio, non andava nulla, ovvero il test delle porte non me lo faceva superare, altre cose non le ho viste/non sapevo cosa altro verificare

è impossibile che non vada, forse non va perchè vedo che dopo hai dovuto aggiungere anche questa riga per avere l'id alto:

$IPT -t nat -A PREROUTING -p udp -i $NET --dport 4665 -j DNAT --to 192.168.1.2:4665

quindi aggiungi anche questa riga allo scriptino che ti ho indicato; però lo devi copiare pari pari ed esguire perchè se lasci le policy in drop come hai tu è chiaro che non funziona il mio script dato che io invece le ho impostate in accept e quindi non aggiunto il permesso nelle catene di forward dato che non serve (in quato è tutto in accept)

prova così;

Non è molto vincente, come stai verificando di persona, partire da un firewall già finito per risolvere i problemi; si ricomncia lasciando tutto aperto come policy, come ti ho mostrato, e fai solo il nat delle porte che ti servono per ottenere l'id alto.
E' solo un consiglio, sia chiaro

[supermario]

ok ora provo l'altra via

[supermario]

questo è il risultato dello script da te postato

Attendere mentre la connesione di eMule AdunanzA viene verificata...
IP: 28.255.248.199

Inizio test della porta TCP 4662...
Esito del test: SUPERATO

Inizio test della porta UDP 4672...
Esito del test: SUPERATO

La verifica della connessione e' stata eseguita con successo, eMule AdunanzA e' perfettamente funzionate e potra' sfruttare appieno le caratteristiche della rete p2p AdunanzA.
Buon Download!
AduTeam

il link per l'adu test scazza di brutto, prima va poi non va...meglio aprire adunanza e poi fare il test integrato(è lo stesso link, ma non funziona se lo carichi direttamente in firefox)

ora come si procede?

[Shang Tsung]

Potresti fare una roba del genere evitandoti un sacco di regole e divisioni etc etc.


#!/bin/bash

iptables -F

iptables -t nat -F

iptables -t mangle -F

iptables -X

iptables -Z

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -P OUTPUT ACCEPT

iptables -t mangle -P INPUT ACCEPT

iptables -t mangle -P FORWARD ACCEPT

iptables -t mangle -P POSTROUTING ACCEPT

iptables -t mangle -P PREROUTING ACCEPT


iptables -N block


iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A block -m state --state NEW -i ! eth1 -j ACCEPT

iptables -A block -j DROP


iptables -A INPUT -j block


iptables -A FORWARD -i eth1 -p tcp --dport 4662 -j ACCEPT

iptables -A FORWARD -i eth1 -p udp --dport 4665 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 4672 -j ACCEPT

iptables -A FORWARD -j block


iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 4662 -j DNAT --to 192.168.1.2:4662
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 4665 -j DNAT --to 192.168.1.2:4665
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 4672 -j DNAT --to 192.168.1.2:4672

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

echo 1 >> /proc/sys/net/ipv4/ip_forward

[supermario]

grazie per l'aiuto!


ora ho un altro dato in più...ovvero le porte si stanno aprendo e chiudendo a piacimento...se per un pò di tempo risultano aperte...poi accade qualcosa è si chiudono da capo...ho fatto connettere su emule un mio coinquilino e per qualche minuto siamo stati entrambi con id alto su emule...poi a entrambi porte chiuse(senza che io toccassi nulla..non ho aperto nummeno una shell ssh)...

[Shang Tsung]

mi spiace ma non so nulla di mulo, sono un pò fuori dal mondo per questa cosa
Devi essere sicuro delle porte;
di sicuro non è un problema di iptables, intendo dire che una volta che metti le regole non è che le cambia lui, quindi o non hai le porte giuste o è il test delle porte che mente o ...non so ma so che non è colpa di iptables