Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundację Dzieciom „Zdążyć z Pomocą”.
Więcej informacji na dug.net.pl/pomagamy/.

#1 2019-02-05 11:35:01

marpi82
Nowy użytkownik
Skąd: Tychy
Zarejestrowany: 2019-02-04

IPTABLES, przekierowanie portu - problem z uruchomieniem

Witam wszystkich.

Próbowałem podpiąć się pod temat o konfiguracji firewall'a (https://forum.dug.net.pl/viewtopic.php?id=30822), ale a mam wrażenie, że mój post został nie zauważony. Jeśli jestem w błędzie bardzo przepraszam za otwarcie nowego tematu.

Mam problem z konfiguracją przekierowania portów. Od kilku dni próbuję się z tym uporać, ale nie wychodzi mi to zbyt dobrze - właściwie to w ogóle mi nie wychodzi :).

Z uwagi, że w mojej okolicy jedyna sensowna opcja dostępu do internetu to LTE, a co za tym idzie podwójny NAT zmuszony zostałem do zakupu VPS'a celem uruchomienia kilku usług które miały być dostępne z zewnątrz.
VPS jest na OpenVZ (najtańsza opcja ;]), na nim Debian 9 na standardowym w tej opcji kernelu 2.6.32.

VPS z moim domowym serwerkiem (dla uproszczenia będę pisać SRV) połączony jest tunelem OpenVPN.

Konfiguracja sieciowa wygląda tak:
VPS

Kod:

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
    link/void
    inet 127.0.0.2/32 scope host venet0
    inet <publiczne_ip> brd <publiczne_ip> scope global venet0:0
       valid_lft forever preferred_lft forever
15: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.0.0.1/24 brd 10.0.0.255 scope global tun0

SRV

Kod:

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 64:00:6a:92:c5:c6 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.252/20 brd 192.168.15.255 scope global eno1
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.0.0.2/24 brd 10.0.0.255 scope global tun0
       valid_lft forever preferred_lft forever

Tunel działa prawidłowo.
Działają pingi w obie strony i mogę połączyć się z ssh w jedną i w drugą stronę. Oczywiście z zewnątrz mogę połączyć się z SSH na VPS (jest na porcie 57185).


Jako pierwszą usługę chciałem przekierować SSH z SRV 10.0.0.2:22 na port VPS <publiczne_ip>:57186 by później kontynuować w podobny sposób z innymi - ale ugrzęzłem :/

Włączyłem net.ipv4.ip_forward w pliku /etc/sysctrl.conf

Z pomocą googla stworzyłem konfigurację firewalla i dodałem do niej moje przekierowanie portu

Kod:

# Tablica FILTER
*filter

# Pozwol na kazdy ruch na loopback (lo) i odrzuc wszysko
# do localhost co nie pochodzi z interfejsu lo.
-A INPUT   -i lo                -j ACCEPT
-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT
-A OUTPUT  -o lo                -j ACCEPT

# Pozwol na ping i powrot bledow ICMP.
-A INPUT  -p icmp -m state --state NEW   --icmp-type 8 -j ACCEPT
-A INPUT  -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

# Pozwol na ruch na porcie tcp 57185 (SSH).
-A INPUT  -p tcp -m state --state NEW,ESTABLISHED --dport 57185 -j ACCEPT
-A OUTPUT -p tcp -m state --state     ESTABLISHED --sport 57185 -j ACCEPT

# Pozwol na ruch na porcie tcp 57186 (SSH 10.0.0.2@tun0) na interfejsie VENET0.
-A INPUT  -i venet0 -p tcp -m state --state NEW,ESTABLISHED --dport 57186 -j ACCEPT
-A OUTPUT -o venet0 -p tcp -m state --state     ESTABLISHED --sport 57186 -j ACCEPT

# Pozwol na ruch UDP na portcie 1194 (OpenVPN) na interfejsie VENET0.
-A INPUT  -i venet0 -p udp -m state --state NEW,ESTABLISHED --dport 1194 -j ACCEPT
-A OUTPUT -o venet0 -p udp -m state --state     ESTABLISHED --sport 1194 -j ACCEPT

# Pozwol na rozwiazywanie nazw DNS
-A INPUT  -p udp -m state --state NEW,ESTABLISHED --dport 53 -j ACCEPT
-A INPUT  -p udp -m state --state     ESTABLISHED --sport 53 -j ACCEPT
-A OUTPUT -p udp -m state --state NEW,ESTABLISHED --dport 53 -j ACCEPT
-A OUTPUT -p udp -m state --state     ESTABLISHED --sport 53 -j ACCEPT

# Pozwol na ruch na portach HTTP/S
-A INPUT  -p tcp -m state --state NEW,ESTABLISHED --sport 80  -j ACCEPT
-A INPUT  -p tcp -m state --state NEW,ESTABLISHED --sport 443 -j ACCEPT
-A OUTPUT -p tcp -m state --state     ESTABLISHED --dport 80  -j ACCEPT
-A OUTPUT -p tcp -m state --state     ESTABLISHED --dport 443 -j ACCEPT

# Pozwol na ruch na interfejsie TUN (dla OpenVPN).
-A INPUT   -i tun+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A OUTPUT  -o tun+ -j ACCEPT

# Pozwol na ruch na interfejsie TAP (dla OpenVPN).
-A INPUT   -i tap+ -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
-A OUTPUT  -o tap+ -j ACCEPT

# Loguj wszystkie pakiety ktore nie spelniaja powyzszych zasad.
# (opcjonalne, ale przydatne)
-A INPUT   -m limit --limit 3/min -j LOG --log-prefix "iptables_INP_denied: " --log-level 4
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "iptables_FWD_denied: " --log-level 4
-A OUTPUT  -m limit --limit 3/min -j LOG --log-prefix "iptables_OUT_denied: " --log-level 4

# ...i odrzuc je.
-A INPUT   -j REJECT
-A FORWARD -j REJECT
-A OUTPUT  -j REJECT

COMMIT


# Tablica NAT
*nat

# Przekierowanie portu dla SSH na 10.0.0.2:22@tun0 na port 57186
-A PREROUTING -p tcp --dport 57186 -j DNAT --to-destination 10.0.0.2:22

# Maskarada dla ruchu z 10.0.0.0/24 do interfejsu VENET0
-A POSTROUTING -s 10.0.0.0/24 -o venet0 -j MASQUERADE

COMMIT

Tak to wygląda po zastosowaniu:

Kod:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  loopback/8           anywhere             reject-with icmp-port-unreachable
ACCEPT     icmp --  anywhere             anywhere             state NEW icmp echo-request
ACCEPT     icmp --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             state NEW,ESTABLISHED tcp dpt:57185
ACCEPT     tcp  --  anywhere             anywhere             state NEW,ESTABLISHED tcp dpt:57186
ACCEPT     udp  --  anywhere             anywhere             state NEW,ESTABLISHED udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere             state NEW,ESTABLISHED udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             state ESTABLISHED udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere             state NEW,ESTABLISHED tcp spt:http
ACCEPT     tcp  --  anywhere             anywhere             state NEW,ESTABLISHED tcp spt:https
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "iptables_INPUT_denied: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "iptables_FORWARD_denied: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             state ESTABLISHED tcp spt:57185
ACCEPT     tcp  --  anywhere             anywhere             state ESTABLISHED tcp spt:57186
ACCEPT     udp  --  anywhere             anywhere             state ESTABLISHED udp spt:openvpn
ACCEPT     udp  --  anywhere             anywhere             state NEW,ESTABLISHED udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             state ESTABLISHED udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere             state ESTABLISHED tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             state ESTABLISHED tcp dpt:https
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "iptables_OUTPUT_denied: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere             tcp dpt:57186 to:10.0.0.2:22

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Niestety przekierowanie nie chce mi śmigać - nie da się połączyć z <publiczne_ip>:57186

Zastanowił mnie fakt, choć nie wiem, czy dobrze to interpretuję, że gdy wyzeruję liczniki iptables i próbuję połączyć się z <publiczne_ip>:57186 to, żaden pakiet nie jest przefiltrowany przez moją regułę POSTROUTING.
Wygląda to tak:

Kod:

# iptables -Z -t nat
# iptables -t nat -vL
Chain PREROUTING (policy ACCEPT 3 packets, 120 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    60 DNAT       tcp  --  any    any     anywhere             anywhere             tcp dpt:57186 to:10.0.0.2:22

Chain POSTROUTING (policy ACCEPT 3 packets, 194 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  any    any     10.0.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT 2 packets, 134 bytes)
 pkts bytes target     prot opt in     out     source               destination

Jeśli ktoś byłby mi w stanie pomóc to byłbym bardzo wdzięczny.

Edit:
Dodałem jeszcze do firewall'a regułę

Kod:

-A FORWARD -i venet0 -o tun+ -j ACCEPT

z logów wywnioskowałem że były DROPy, ale nadal brak połączenia.

Edit2:
Zrobiłem sobie logowanie, dodałem do tablicy NAT:

Kod:

-A PREROUTING  -j LOG --log-prefix "iptables_PRR: "
-A POSTROUTING -j LOG --log-prefix "iptables_POR: "

Po przestudiowaniu togo co zaczęło mi wyrzucać:
w PREROUTING tylko dodałem interfejs wejściowy więc nic to właściwie nie wnosi,
a POSTROUTING zmieniłem z maskarady na SNAT wg tego co pojawiało się w logach

Kod:

-A PREROUTING  -i venet0 -p tcp --dport 57186 -d <publiczny_ip> -j DNAT --to 10.0.0.2:22
-A POSTROUTING -o tun+   -p tcp --dport 22    -d 10.0.0.2       -j SNAT --to <publiczny_ip>:57186

Wygląda, że firewall jest skonfigurowany na chwilę obecną tak jak powinien.
Przekierowania są ok, po śledzeniu liczników w tablicach iptables wygląda, że jest ok.
Sęk w tym, że nadal nie mogę się połączyć na przekierowany SSH. Ma ktoś pomysł dlaczego tak może się dziać?

Edit3:
Popatrzyłem na dodany przed chwilą SNAT, popatrzyłem na zakomentowaną maskaradę i olśniło mnie, że robiłem z nią czeski błąd
miałem

Kod:

-A POSTROUTING -s 10.0.0.0/24 -o venet0 -j MASQUERADE

a miało być

Kod:

-A POSTROUTING -d 10.0.0.0/24 -o tun+ -j MASQUERADE

Zakomentowałem jeszcze raz SNAT i włączyłem poprawioną maskaradę i śmiga...
Tylko teraz mnie nurtuje dlaczego nie działa SNAT?

Na razie zostawię wpisy w tablicy NAT z SNAT i MASQUERADE jeśli działają,
ale jeśli ktoś miałby pomysł dlaczego nie działa SNAT (wolał bym jednak SNAT niż MASQUERADE) to proszę o info.

Pozdrawiam i zostawiam dla innych - może komuś się przyda coś z powyższego...

Ostatnio edytowany przez marpi82 (2019-02-06 12:28:38)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)