Inoltrare il traffico con IPTABLES

[blp]

Ciao!

é da 2 gg che provo a usare iptables ma non riesco a fare quello che devo... e non riesco a capire cosa sbaglio...


quello che ho bisogno di realizzare è relativamente semplice

data la rete in figura:

Codice:

	+-----+  +--------+      +------------------+      +--------+
	| wan |--| router |------|     iptables     |------| Server |
	+-----+  +--------+      +------------------+      +--------+
		     x.x.10.1   eth0              eth1    x.x.10.101
                               x.x.10.11      x.x.10.12

devo accettare il traffico che arriva dal router (indirizzato a x.x.10.11 porta 123) verso l'interfaccia eth0 del pc con iptables e inoltrarlo verso il server x.x.10.101 sulla porta 123 usando eth1.

ho provato in mille modi ma non riesco.

route:

Codice:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
x.x.10.101   	*               255.255.255.255 UH    0      0        0 eth1
x.x.10.0	*               255.255.255.0   U     0      0        0 eth0
default         x.x.10.1 	0.0.0.0         UG    0      0        0 eth0

Eseguendo ping x.x.10.1 vedo che i pacchetti effettivamente escondo dalla eth0 mentre ping x.x.10.101 i pacchetti escono correttamente da eth1.

Qlc sa darmi una mano, cosigliandomi quali regole devo inserire in iptables per risolvere il problema?


Grazie per la disponibilità,
blp

[Gimli[2BV!2B]]

Io penso che queste regole dovrebbero fare quel che desideri:

Codice:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d x.x.10.11 --dport 123 -j DNAT --to-destination x.x.10.101:123
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to x.x.10.11
iptables -A FORWARD -p tcp -i eth0 -d x.x.10.101 --dport 123 -j ACCEPT
iptables -A FORWARD -s x.x.10.101 -i eth1 -o eth0 -j ACCEPT

Nel caso non funzionasse prova a caricare questo modulo:

Codice:

modprobe ipt_MASQUERADE

Se le regole funzionano ti consiglierei di mettere tutto in un file di nome firewall, salvarlo in /etc/network e fare un link simbolico nelle cartelle if- che riguardano una fase in cui dovrà entrare in azione.
In questo caso basta un link in if-up.d, il file deve essere fatto in questa maniera:

Codice:

#! /bin/bash
$EXTERNAL_INTERFACE=eth0
$INTERNAL_INTERFACE=eth1
$EXTERNAL_IP=`/sbin/ifconfig $EXTERNAL_INTERFACE | grep inet | tr -s ' ' | tr ':' ' ' | cut -f 4 -d ' '`
$INTERNAL_SERVER=x.x.10.101
case "$IFACE" in
    "$EXTERNAL_INTERFACE")

        case "$PHASE" in
            post-up)
                modprobe ipt_MASQUERADE    # solo se ti serve
                iptables -t nat -A PREROUTING -p tcp -i $EXTERNAL_INTERFACE -d $EXTERNAL_IP --dport 123 -j DNAT --to $INTERNAL_SERVER:123
                iptables -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE -j SNAT --to $EXTERNAL_IP
                iptables -A FORWARD -p tcp -i $EXTERNAL_INTERFACE -d $INTERNAL_SERVER --dport 123 -j ACCEPT
                iptables -A FORWARD -s $INTERNAL_SERVER -i $INTERNAL_INTERFACE -o $EXTERNAL_INTERFACE -j ACCEPT
                ;;
            post-down)
                ;;
            *)
                echo "Unhandled: $PHASE"
                exit 0
                ;;
            esac
        ;;
    *)
        echo "Unknown interface $IFACE"
        exit 0
        ;;
    esac

exit 0

[gurutech]

hai abilitato il forwarding tra le interfacce di rete?
cat /proc/sys/net/ipv4/ip_forward
se sta a zero, fai
echo "1" > /proc/sys/net/ipv4/ip_forward
e poi riprova.

se non va posta qui l'output di
iptables -L -n
e
iptables -L -n -t nat

[blp]

Prima di tutto vi ringrazio per le vostre risposte velocissime..

ho provato la soluzione di Gimli[2BV!2B], ma purtroppo non ha funzionato.. modificandola un po' sono arrivato a questa:

Codice:

iptables_32 -t nat -A PREROUTING -i eth0 -p tcp --dport 123 -s ! x.x.10.101 -j DNAT --to-destination x.x.10.101:123

iptables_32 -t nat -A POSTROUTING -o eth1 -s x.x.10.0/24 -d x.x.10.101 -j SNAT --to-source x.x.10.12

iptables_32 -A FORWARD -s x.x.10.101 -i eth1 -o eth0 -j ACCEPT

funziona perfettamente, ma sinceramente mi chiedo se sia logicamente corretta. Che ne pensate?


gurutech, si si grazie il forward l'avevo abilitato:

Codice:

sysctl -w net.ipv4.ip_forward=1

C'é un modo per abilitare permanentemente questa opzione?


Grazie mille ancora per la vostra disponibilità!

[Gimli[2BV!2B]]

Strano che non abbia funzionato... io uso quelle regole da mesi.

Ma che distribuzione stai usando? iptables_32? Che versione del kernel hai?

Ho scoperto che nella man non trovo menzionata l'opzione --to che uso io ma solo la --to-destination che hai usato tu.

Le mie regole fanno due cose:

1. Arriva un pacchetto alla porta 123 tcp dell'interfaccia esterna? Passalo al server interno cambiandone l'ip di destinazione in quello del server.
2. Questo pacchetto è destinato alla porta 123 del server interno? Lascialo passare!

Cacchio manca il ritorno!


Le tue regole credo facciano:

1. Arriva un pacchetto alla porta 123 tcp dell'interfaccia esterna, ma non dal server interno (com'è possibile?)? Passalo al server interno cambiandone l'ip di destinazione.
2. Sta uscendo un pacchetto alla porta 123 del server interno che arriva dalla rete x.x.10.0/24? Digli che è stato generato dall'interfaccia x.x.10.12.
3. Lascia che tutto il traffico proveniente dal server interno attraversi tranquillamente il firewall in uscita.

Non so bene come funzionino, ma se vanno...

Mi sono ricordato che mio ritorno è rappresentato dal NAT che ho attivato per far accedere ad internet il computer interno. Quindi ti propongo le mie regole modificate con l'aggiunta del tuo ritorno:

Codice:

iptables_32 -t nat -A PREROUTING -p tcp -i eth0 -d x.x.10.11 --dport 123 -j DNAT --to-destination x.x.10.101:123
iptables_32 -A FORWARD -p tcp -i eth0 -d x.x.10.101 --dport 123 -j ACCEPT
iptables_32 -A FORWARD -s x.x.10.101 -i eth1 -o eth0 -j ACCEPT

Per quel che riguarda net.ipv4.ip_forward=1 aggiungilo in /etc/sysctl.conf (spesso è solo commentato).

Vediamo se stavolta ci siamo...

[blp]

Credo di aver trovato il perché le tue regole, benché corrette non funzionano nel mio caso:

La situazione é questa:
iptables (1.3.4) é su una virtual machine (WindRiver CGL Linux, PNE 1.4 kernel 2.6.14) le cui eth0 e eth1 sono virtuali e collegate via bridge (tramite

l'unica interfaccia del mio portatile) a uno switch fisico al quale sono attaccati sia il router che il server.


Rete reale:

Codice:

           Virtual Machine  +----------------------------+
                            |                            |
                            |    +------------------+    |
                            |    |     iptables     |    |
                            |    +------------------+    |
		            |   eth0              eth1   |
                            |  x.x.10.11      x.x.10.12  |
                            |      |              |      |
                            |      ¦              ¦      |
                            +----- ¦ ------------ ¦ -----+
                                   ¦      |       ¦
                                   ¦      |       ¦
                                   ¦      |       ¦
	+-----+  +--------+      +-¦ -----+------ ¦-+      +--------+
	| wan |--| router |------|      switch      |------| Server |
	+-----+  +--------+      +------------------+      +--------+
		     x.x.10.1                           x.x.10.101

Rete da simulare:

Codice:

	+-----+  +--------+      +------------------+      +--------+
	| wan |--| router |------|     iptables     |------| Server |
	+-----+  +--------+      +------------------+      +--------+
		     x.x.10.1   eth0              eth1    x.x.10.101
                               x.x.10.11      x.x.10.12

Quello che ho bisogno di realizzare é:

1. i pacchetti per la porta 123 entrano dal router che li inoltra a x.x.10.11 mantenendo inalterato l'indirizzo del destinatario. (Port Forwarding fatto dal router).

2. la VM con iptables dovrebbe prendere questi pacchetti che hanno come destinazione x.x.10.11 sulla porta eth0 e inoltrarli a x.x.10.101 tramite eth1. (il destinatario dovrebbe rimanere quello originale, ma se non uso la regola 2 non funziona).

3. le risposte del server, vengono inviate a x.x.10.12, che le riceve da eth1 e le inoltra al router, via eth0.


ora il server ha come gateway di default x.x.10.12, sniffando il traffico utilizzando le regole da te suggerite, noto che:

un pacchetto diretto a x.x.10.11 (inviato da un pc sulla rete interna connesso allo switch es: x.x.10.3), presumo venga inoltrato da iptables, perché vedo un copia dello stesso pacchetto (mittente x.x.10.3) ma destinatario x.x.10.101 transitare in rete.
E fin qui tutto bene,

Il problema credo siano i pacchetti di ritorno, infatti vedo tornare i pacchetti di risposta da x.x.10.101, verso x.x.10.3 ma non vengono interpretati da x.x.10.3 perché non li vede arrivare da x.x.10.11.
Tutto questo dovrebbe essere causato dal fatto che tutti i pc sono sulla stessa rete attaccati allo stesso switch.


vorrei evitare di creare due reti differenti... qlc suggerimento?

Grazie ancora per l'aiuto... spero di non aver fatto troppi giri di parole e aver incasinato tutto...

[Gimli[2BV!2B]]

Ok, la situazione era un po' diversa!

Bel puzzle, potrei proporlo ad un mio vecchio prof!

Con questa configurazione trovo più senso nelle tue regole.

In ogni caso hai molta ragione... ho attivato il ritorno, ma è necessario un postrouting.

Allora, vediamo se così ci siamo...(insisto con le mie regole)

Codice:

iptables_32 -t nat -A PREROUTING -p tcp -i eth0 -d x.x.10.11 --dport 123 -j DNAT --to-destination x.x.10.101:123
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to x.x.10.11
iptables_32 -A FORWARD -p tcp -i eth0 -d x.x.10.101 --dport 123 -j ACCEPT
iptables_32 -A FORWARD -s x.x.10.101 -i eth1 -o eth0 -j ACCEPT

Si accettano scommesse! Funzionerà?

[blp]

Grazie per il supporto...

Ho una brutta notizia... non va ancora...

Stessa cosa.. i pacchetti generati all'interno della rete diretti a x.x.10.11:123 vengono inoltrati a x.x.10.101:123 (immagino tramite la eth1), ma i pacchetti di ritorno vanno direttamente a chi ha fatto la richiesta iniziale senza passare per "iptables" e non vengono accettati.

Ho notato ch ei pacchetti invece provenienti dall'esterno vengono girati dal router, ma questi vengono direttamente bloccati e non inoltrati da iptables.

[Gimli[2BV!2B]]

Le regole mi sembrano complete e corrette.

Strana la questione dei pacchetti dall'esterno. Un comportamento del genere me lo sarei aspettato con il tuo set di regole.

Ma le tue regole alla fine funzionavano?

Per conto mio potrebbe essere colpa dello switch, potrebbe aver memorizzato la porta su cui deve instradare i frame in uscita verso i pc (prova a resettarlo) ma probabilmente riconosce che la scelta logica è quella di passarli verso il router. Quindi la macchina virtuale non può fare le modifiche necessarie.
Potresti costringere il server a spedire tutto il traffico attraverso la macchina virtuale, impostandola come gateway, così potresti escludere lo switch (sempre che tu possa fare un tentativo del genere).

Oltre a questo direi che non ho più altre idee...

[blp]

Allora l'unica soluzione alla quale sono riuscito ad arrivare é questa:
ho creato due reti differenti:

Codice:

	+-----+  +--------+      +------------------+      +--------+
	| wan |--| router |------|     iptables     |------| Server |
	+-----+  +--------+      +------------------+      +--------+
		     x.x.10.1   eth0              eth1    y.y.0.101
                               x.x.10.11      y.y.0.12

route:

Codice:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
y.y.0.101   	*               255.255.255.255 UH    0      0        0 eth1
x.x.10.0	*               255.255.255.0   U     0      0        0 eth0
default         x.x.10.1 	0.0.0.0         UG    0      0        0 eth0

e con le tue regole, che ora funzionano perfettamente:

Codice:

iptables_32 -t nat -A PREROUTING -p tcp -i eth0 -d x.x.10.11 --dport 123 -j DNAT --to-destination y.y.0.101:123
iptables_32 -A FORWARD -p tcp -i eth0 -d y.y.0.101 --dport 123 -j ACCEPT
iptables_32 -A FORWARD -s y.y.0.101 -i eth1 -o eth0 -j ACCEPT

senza POSTROUTING...

L'unica cosa é che cosi' devo cambiare l'ip e il gateway al server quando la VM é spenta...

Grazie mille per l'aiuto e i suggerimenti
a buon rendere!

ps: Tantissimi aguri di Buon Natale!!!

[Gimli[2BV!2B]]

Prego!

Buon Natale anche a te!!

[blp]

...Ho appena fatto una prova...
I pacchetti dall'interno della rete vengono accettati e inoltrati tranquillamente... mentre i pacchetti provenienti dall'esterno vengono bloccati da iptables...

Non ho trovato il problema, le altre regole impostate sono quelle base:

Codice:

iptables_32 -P INPUT DROP
iptables_32 -P OUTPUT DROP
iptables_32 -A INPUT -i lo -j ACCEPT
iptables_32 -A OUTPUT -o lo -j ACCEPT
iptables_32 -A INPUT -p tcp --dport 22 -j ACCEPT
iptables_32 -A OUTPUT -p tcp --sport 22 -j ACCEPT

Qualche idea???

Grazie ancora!

[blp]

... Risolto... funziona lo stesso!