Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Firewall и пакетные фильтры)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Перенаправление трафика (forwarding), WeSTMan (ok), 21-Апр-20, (0) [смотреть все] –1 Какой линукс Линукс ли A Постарайтесь нарисовать топологию, или придумайте им в, Licha Morada (ok), 19:04 , 21-Апр-20, (1) // В принципе ожидал, что будет не совсем понятно У нас есть 3 участника сети IP а, WeSTMan (ok), 20:42 , 21-Апр-20, (2) // Замечательно, значит, все в Интернете в разных сетях Это вы делаете с помощью пр, Licha Morada (ok), 21:42 , 21-Апр-20, (3) // ДаДаВозможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение на, WeSTMan (ok), 22:05 , 21-Апр-20, (4) Да, можно Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и мар, Licha Morada (ok), 22:58 , 21-Апр-20, (11) gt оверквотинг удален Я могу залить файл pcap для wireshark, там видно весь тр, WeSTMan (ok), 23:27 , 21-Апр-20, (14) Ну, значит dropped Тогда надо смотреть на флаг ip_forward, таблицу маршрутизаци, Licha Morada (ok), 23:40 , 21-Апр-20, (16) Можете что-нибудь подсказать Суть такова, чтобы был неизвестный реальный IP сер, WeSTMan (ok), 00:13 , 22-Апр-20, (17) Вот этот вариант из примера должен подойти, только там опечатка, кажется, для SN, romanegunkov (ok), 00:35 , 22-Апр-20, (21) Подсказывать тут особо нечего Концептуально вам поможет прокси, реализованный т, Licha Morada (ok), 01:53 , 22-Апр-20, (23) iptables -L -v -nChain INPUT policy ACCEPT 10115 packets, 552K bytes pkts byte, WeSTMan (ok), 00:19 , 22-Апр-20, (18) Никто forward не запрещает Если у вас OpenVZ, дальше я бы стал копать там А воо, Licha Morada (ok), 01:55 , 22-Апр-20, (24) ACCEPT везде, пока я не разберусь с маршрутизацией Далее политики DROP поставлю, WeSTMan (ok), 07:30 , 22-Апр-20, (25) Interfacesauto venet0iface venet0 inet manual up ifconfig venet0 up , WeSTMan (ok), 08:02 , 22-Апр-20, (26) Вы подтвердите или опровергните Ваш фильтрующий сервер не виртуальная машина, а, Licha Morada (ok), 18:27 , 22-Апр-20, (30) gt оверквотинг удален Использую OpenVPN без шифрования Спасибо за ответы , WeSTMan (ok), 21:42 , 22-Апр-20, (31) Послушайте снифером на конечном сервере Кажется дропится не на сервере фильтрац, romanegunkov (ok), 22:07 , 21-Апр-20, (5)   // Конечный сервер ничего не получает Отлавливал через tshark, WeSTMan (ok), 22:11 , 21-Апр-20, (6)   // Чудеса А в tshark по каким-то критериям отлавливаете Попробуйте в iptables пропи, romanegunkov (ok), 22:29 , 21-Апр-20, (7)   // Все это дело тестировал tshark -f port 27017 -i ppp0Я писал, что пакеты дропа, WeSTMan (ok), 22:31 , 21-Апр-20, (8)   gt оверквотинг удален Может есть правило дропать, или я что-то не понимаю Пос, romanegunkov (ok), 22:45 , 21-Апр-20, (9)   И в довесок убедитьсяcat proc sys net ipv4 ip_forwardcat proc sys net ipv4 con, romanegunkov (ok), 22:51 , 21-Апр-20, (10)   Нет там никакой сессии, UDP же Конечный сервер и сервер фильтрации в разных сетя, Licha Morada (ok), 23:01 , 21-Апр-20, (12)   // Давно это было, может я и забыл какие-то нюансы Но, кажется, может зависеть от , romanegunkov (ok), 23:21 , 21-Апр-20, (13)   // gt оверквотинг удален Да, пока пакет не может еще отправится на конечный серве, WeSTMan (ok), 23:36 , 21-Апр-20, (15)   gt оверквотинг удален Дропы на tx, это не значит что не может отправиться, это, romanegunkov (ok), 00:20 , 22-Апр-20, (19)   gt оверквотинг удален Выше приложил вывод iptables, посмотрите, пожалуйста, WeSTMan (ok), 00:25 , 22-Апр-20, (20)   gt оверквотинг удален Я к тому что для начала просто установить ip связность о, romanegunkov (ok), 00:44 , 22-Апр-20, (22)   gt оверквотинг удален Может поднять VPN И через него трафик гонять , WeSTMan (ok), 08:22 , 22-Апр-20, (27)   gt оверквотинг удален Можно, конечно Реализация несложная, можно разные вариа, romanegunkov (ok), 11:19 , 22-Апр-20, (28)   gt оверквотинг удален Сделал VPN, все заработало Только приложение критично к, WeSTMan (ok), 11:33 , 22-Апр-20, (29) +1   Лучше сразу делать все это при покупке пакета, у вас явно ошибка в установке У , dmitriygessus (ok), 23:36 , 24-Май-20, (33) 1,5,33

Сообщения

[Сортировка по времени | RSS]

5. "Перенаправление трафика (forwarding)"	+/–
Сообщение от romanegunkov (ok), 21-Апр-20, 22:07
Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а на конечном. Может даже не дропится, а отсылается клиенту, но получается нестыковка сессии по IP адресам. По сниферу будет видно. Поставьте на конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку отрабатывал, должно заработать. Или для теста маршрут для конкретного клиента пропишите через сервер фильтрации, если опасаетесь дефолт менять или потерять доступ к серверу.
Ответить | Правка | Наверх | Cообщить модератору

	6. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от WeSTMan (ok), 21-Апр-20, 22:11
	> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а > на конечном. Может даже не дпопится, а отсылается клиенту, но получается > нестыковка сессии по IP адресам. По сниферу будет видно. Поставьте на > конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку > отрабатывал, должно заработать. Конечный сервер ничего не получает. Отлавливал через tshark
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 21-Апр-20, 22:29
	>> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а >> на конечном. Может даже не дпопится, а отсылается клиенту, но получается >> нестыковка сессии по IP адресам. По сниферу будет видно. Поставьте на >> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >> отрабатывал, должно заработать. > Конечный сервер ничего не получает. Отлавливал через tshark Чудеса. А в tshark по каким-то критериям отлавливаете? Попробуйте в iptables прописать порт куда перекидывать: --to-destination IPServer:27017
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от WeSTMan (ok), 21-Апр-20, 22:31
	>>> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а >>> на конечном. Может даже не дпопится, а отсылается клиенту, но получается >>> нестыковка сессии по IP адресам. По сниферу будет видно. Поставьте на >>> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >>> отрабатывал, должно заработать. >> Конечный сервер ничего не получает. Отлавливал через tshark > Чудеса. > А в tshark по каким-то критериям отлавливаете? > Попробуйте в iptables прописать порт куда перекидывать: --to-destination IPServer:27017 Все это дело тестировал. tshark -f "port 27017" -i ppp0 Я писал, что пакеты дропаются еще на сервере фильтрации. Я послал 13 пакетов, ввел ifconfig и увидел dropped 13 Хотя все правила ACCEPT и форвардинг работает
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 21-Апр-20, 22:45
	>[оверквотинг удален] >>>> отрабатывал, должно заработать. >>> Конечный сервер ничего не получает. Отлавливал через tshark >> Чудеса. >> А в tshark по каким-то критериям отлавливаете? >> Попробуйте в iptables прописать порт куда перекидывать: --to-destination IPServer:27017 > Все это дело тестировал. > tshark -f "port 27017" -i ppp0 > Я писал, что пакеты дропаются еще на сервере фильтрации. > Я послал 13 пакетов, ввел ifconfig и увидел dropped 13 > Хотя все правила ACCEPT и форвардинг работает Может есть правило дропать, или я что-то не понимаю. Посмотрите iptables-save -c
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 21-Апр-20, 22:51
	И в довесок убедиться cat /proc/sys/net/ipv4/ip_forward cat /proc/sys/net/ipv4/conf/ppp0/forwarding cat /proc/sys/net/ipv4/conf/eth0/forwarding
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	12. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от Licha Morada (ok), 21-Апр-20, 23:01
	> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а > на конечном. Может даже не дропится, а отсылается клиенту, но получается > нестыковка сессии по IP адресам. Нет там никакой сессии, UDP же. > Поставьте на > конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку > отрабатывал, должно заработать. Конечный сервер и сервер фильтрации в разных сетях.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	13. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 21-Апр-20, 23:21
	>> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а >> на конечном. Может даже не дропится, а отсылается клиенту, но получается >> нестыковка сессии по IP адресам. > Нет там никакой сессии, UDP же. Давно это было, может я и забыл какие-то нюансы. Но, кажется, может зависеть от реализации. Если отправить запрос на один адрес, а получить ответ с другого, возможно будет проблемой. А "сессия" в iptables даже для ICMP применяется, правда на SNAT, именно сессия в кавычках. >> Поставьте на >> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >> отрабатывал, должно заработать. > Конечный сервер и сервер фильтрации в разных сетях. Да, наводит на мысль, что в обратку SNAT, надо бы. Как тут в примере 5.7 http://linux-ip.net/html/nat-dnat.html Но тут пока до всего этого не дошло. Пока просто до конечного сервака пакет не доходит, как будто форвардинг не работает.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от WeSTMan (ok), 21-Апр-20, 23:36
	>[оверквотинг удален] > ответ с другого, возможно будет проблемой. А "сессия" в iptables даже > для ICMP применяется, правда на SNAT, именно сессия в кавычках. >>> Поставьте на >>> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >>> отрабатывал, должно заработать. >> Конечный сервер и сервер фильтрации в разных сетях. > Да, наводит на мысль, что в обратку SNAT, надо бы. Как тут > в примере 5.7 http://linux-ip.net/html/nat-dnat.html > Но тут пока до всего этого не дошло. Пока просто до конечного > сервака пакет не доходит, как будто форвардинг не работает. Да, пока пакет не может еще отправится на конечный сервер))
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 22-Апр-20, 00:20
	>[оверквотинг удален] >> для ICMP применяется, правда на SNAT, именно сессия в кавычках. >>>> Поставьте на >>>> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >>>> отрабатывал, должно заработать. >>> Конечный сервер и сервер фильтрации в разных сетях. >> Да, наводит на мысль, что в обратку SNAT, надо бы. Как тут >> в примере 5.7 http://linux-ip.net/html/nat-dnat.html >> Но тут пока до всего этого не дошло. Пока просто до конечного >> сервака пакет не доходит, как будто форвардинг не работает. > Да, пока пакет не может еще отправится на конечный сервер)) Дропы на tx, это не значит что не может отправиться, это значит что не может дойти. Сейчас не нашёл описания, но судя по коду в ядре, разные причины могут быть. Походу в роутинге что-то не так. Надо с этим разобраться для начала. Например поднять секондари ip совпадающий с клиентским и походить от него на сервер.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от WeSTMan (ok), 22-Апр-20, 00:25
	>[оверквотинг удален] >>> в примере 5.7 http://linux-ip.net/html/nat-dnat.html >>> Но тут пока до всего этого не дошло. Пока просто до конечного >>> сервака пакет не доходит, как будто форвардинг не работает. >> Да, пока пакет не может еще отправится на конечный сервер)) > Дропы на tx, это не значит что не может отправиться, это значит > что не может дойти. Сейчас не нашёл описания, но судя по > коду в ядре, разные причины могут быть. Походу в роутинге что-то > не так. Надо с этим разобраться для начала. > Например поднять секондари ip совпадающий с клиентским и походить от него на > сервер. Выше приложил вывод iptables, посмотрите, пожалуйста
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 22-Апр-20, 00:44
	>[оверквотинг удален] >>>> Но тут пока до всего этого не дошло. Пока просто до конечного >>>> сервака пакет не доходит, как будто форвардинг не работает. >>> Да, пока пакет не может еще отправится на конечный сервер)) >> Дропы на tx, это не значит что не может отправиться, это значит >> что не может дойти. Сейчас не нашёл описания, но судя по >> коду в ядре, разные причины могут быть. Походу в роутинге что-то >> не так. Надо с этим разобраться для начала. >> Например поднять секондари ip совпадающий с клиентским и походить от него на >> сервер. > Выше приложил вывод iptables, посмотрите, пожалуйста Я к тому что для начала просто установить ip связность от клиента к серверу через промежуточный сервер. Именно простого роутинга добейтесь и только потом за iptables беритесь.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от WeSTMan (ok), 22-Апр-20, 08:22
	>[оверквотинг удален] >>> Дропы на tx, это не значит что не может отправиться, это значит >>> что не может дойти. Сейчас не нашёл описания, но судя по >>> коду в ядре, разные причины могут быть. Походу в роутинге что-то >>> не так. Надо с этим разобраться для начала. >>> Например поднять секондари ip совпадающий с клиентским и походить от него на >>> сервер. >> Выше приложил вывод iptables, посмотрите, пожалуйста > Я к тому что для начала просто установить ip связность от клиента > к серверу через промежуточный сервер. Именно простого роутинга добейтесь и только > потом за iptables беритесь. Может поднять VPN? И через него трафик гонять?
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 22-Апр-20, 11:19
	>[оверквотинг удален] >>>> что не может дойти. Сейчас не нашёл описания, но судя по >>>> коду в ядре, разные причины могут быть. Походу в роутинге что-то >>>> не так. Надо с этим разобраться для начала. >>>> Например поднять секондари ip совпадающий с клиентским и походить от него на >>>> сервер. >>> Выше приложил вывод iptables, посмотрите, пожалуйста >> Я к тому что для начала просто установить ip связность от клиента >> к серверу через промежуточный сервер. Именно простого роутинга добейтесь и только >> потом за iptables беритесь. > Может поднять VPN? И через него трафик гонять? Можно, конечно. Реализация несложная, можно разные варианты делать. Вам надо определиться как хотите сделать, нарисовать схему, пройтись по IP связности, сделать подмену IP адресов. VPN может вам дефолт маршрут подсунуть и схема заработает, но лучше добиться понимания элементарной статической маршрутизации, а потом можно какой-нибидь WireGuard прикрутить и прям в нём завести правила iptables, там сможете и на серую сеть перейти, чтобы никаким образм не светануть белым адресом сервера, раз уж это так важно, да и нагрузку он небольую даёт.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Перенаправление трафика (forwarding)"	+1 +/–
	Сообщение от WeSTMan (ok), 22-Апр-20, 11:33
	>[оверквотинг удален] >>> потом за iptables беритесь. >> Может поднять VPN? И через него трафик гонять? > Можно, конечно. Реализация несложная, можно разные варианты делать. Вам надо определиться > как хотите сделать, нарисовать схему, пройтись по IP связности, сделать подмену > IP адресов. VPN может вам дефолт маршрут подсунуть и схема заработает, > но лучше добиться понимания элементарной статической маршрутизации, а потом можно какой-нибидь > WireGuard прикрутить и прям в нём завести правила iptables, там сможете > и на серую сеть перейти, чтобы никаким образм не светануть белым > адресом сервера, раз уж это так важно, да и нагрузку он > небольую даёт. Сделал VPN, все заработало. Только приложение критично к задержке и пакетам. Будут ли проблемы, если использовать VPN?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема