Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Firewall и пакетные фильтры)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Перенаправление трафика (forwarding), WeSTMan (ok), 21-Апр-20, (0) [смотреть все] –1 Какой линукс Линукс ли A Постарайтесь нарисовать топологию, или придумайте им в, Licha Morada (ok), 19:04 , 21-Апр-20, (1) // В принципе ожидал, что будет не совсем понятно У нас есть 3 участника сети IP а, WeSTMan (ok), 20:42 , 21-Апр-20, (2) // Замечательно, значит, все в Интернете в разных сетях Это вы делаете с помощью пр, Licha Morada (ok), 21:42 , 21-Апр-20, (3) // ДаДаВозможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение на, WeSTMan (ok), 22:05 , 21-Апр-20, (4) Да, можно Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и мар, Licha Morada (ok), 22:58 , 21-Апр-20, (11) gt оверквотинг удален Я могу залить файл pcap для wireshark, там видно весь тр, WeSTMan (ok), 23:27 , 21-Апр-20, (14) Ну, значит dropped Тогда надо смотреть на флаг ip_forward, таблицу маршрутизаци, Licha Morada (ok), 23:40 , 21-Апр-20, (16) Можете что-нибудь подсказать Суть такова, чтобы был неизвестный реальный IP сер, WeSTMan (ok), 00:13 , 22-Апр-20, (17) Вот этот вариант из примера должен подойти, только там опечатка, кажется, для SN, romanegunkov (ok), 00:35 , 22-Апр-20, (21) Подсказывать тут особо нечего Концептуально вам поможет прокси, реализованный т, Licha Morada (ok), 01:53 , 22-Апр-20, (23) iptables -L -v -nChain INPUT policy ACCEPT 10115 packets, 552K bytes pkts byte, WeSTMan (ok), 00:19 , 22-Апр-20, (18) Никто forward не запрещает Если у вас OpenVZ, дальше я бы стал копать там А воо, Licha Morada (ok), 01:55 , 22-Апр-20, (24) ACCEPT везде, пока я не разберусь с маршрутизацией Далее политики DROP поставлю, WeSTMan (ok), 07:30 , 22-Апр-20, (25) Interfacesauto venet0iface venet0 inet manual up ifconfig venet0 up , WeSTMan (ok), 08:02 , 22-Апр-20, (26) Вы подтвердите или опровергните Ваш фильтрующий сервер не виртуальная машина, а, Licha Morada (ok), 18:27 , 22-Апр-20, (30) gt оверквотинг удален Использую OpenVPN без шифрования Спасибо за ответы , WeSTMan (ok), 21:42 , 22-Апр-20, (31) Послушайте снифером на конечном сервере Кажется дропится не на сервере фильтрац, romanegunkov (ok), 22:07 , 21-Апр-20, (5) // Конечный сервер ничего не получает Отлавливал через tshark, WeSTMan (ok), 22:11 , 21-Апр-20, (6)   // Чудеса А в tshark по каким-то критериям отлавливаете Попробуйте в iptables пропи, romanegunkov (ok), 22:29 , 21-Апр-20, (7)   // Все это дело тестировал tshark -f port 27017 -i ppp0Я писал, что пакеты дропа, WeSTMan (ok), 22:31 , 21-Апр-20, (8)   gt оверквотинг удален Может есть правило дропать, или я что-то не понимаю Пос, romanegunkov (ok), 22:45 , 21-Апр-20, (9)   И в довесок убедитьсяcat proc sys net ipv4 ip_forwardcat proc sys net ipv4 con, romanegunkov (ok), 22:51 , 21-Апр-20, (10)   Нет там никакой сессии, UDP же Конечный сервер и сервер фильтрации в разных сетя, Licha Morada (ok), 23:01 , 21-Апр-20, (12) // Давно это было, может я и забыл какие-то нюансы Но, кажется, может зависеть от , romanegunkov (ok), 23:21 , 21-Апр-20, (13) // gt оверквотинг удален Да, пока пакет не может еще отправится на конечный серве, WeSTMan (ok), 23:36 , 21-Апр-20, (15) gt оверквотинг удален Дропы на tx, это не значит что не может отправиться, это, romanegunkov (ok), 00:20 , 22-Апр-20, (19) gt оверквотинг удален Выше приложил вывод iptables, посмотрите, пожалуйста, WeSTMan (ok), 00:25 , 22-Апр-20, (20) gt оверквотинг удален Я к тому что для начала просто установить ip связность о, romanegunkov (ok), 00:44 , 22-Апр-20, (22) gt оверквотинг удален Может поднять VPN И через него трафик гонять , WeSTMan (ok), 08:22 , 22-Апр-20, (27) gt оверквотинг удален Можно, конечно Реализация несложная, можно разные вариа, romanegunkov (ok), 11:19 , 22-Апр-20, (28) gt оверквотинг удален Сделал VPN, все заработало Только приложение критично к, WeSTMan (ok), 11:33 , 22-Апр-20, (29) +1 Лучше сразу делать все это при покупке пакета, у вас явно ошибка в установке У , dmitriygessus (ok), 23:36 , 24-Май-20, (33) 1,5,33

Сообщения

[Сортировка по времени | RSS]

	6. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от WeSTMan (ok), 21-Апр-20, 22:11
	> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а > на конечном. Может даже не дпопится, а отсылается клиенту, но получается > нестыковка сессии по IP адресам. По сниферу будет видно. Поставьте на > конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку > отрабатывал, должно заработать. Конечный сервер ничего не получает. Отлавливал через tshark
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 21-Апр-20, 22:29
	>> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а >> на конечном. Может даже не дпопится, а отсылается клиенту, но получается >> нестыковка сессии по IP адресам. По сниферу будет видно. Поставьте на >> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >> отрабатывал, должно заработать. > Конечный сервер ничего не получает. Отлавливал через tshark Чудеса. А в tshark по каким-то критериям отлавливаете? Попробуйте в iptables прописать порт куда перекидывать: --to-destination IPServer:27017
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от WeSTMan (ok), 21-Апр-20, 22:31
	>>> Послушайте снифером на конечном сервере. Кажется дропится не на сервере фильтрации, а >>> на конечном. Может даже не дпопится, а отсылается клиенту, но получается >>> нестыковка сессии по IP адресам. По сниферу будет видно. Поставьте на >>> конечном сервере default gw через сервер фильтрации, чтобы DNAT в обратку >>> отрабатывал, должно заработать. >> Конечный сервер ничего не получает. Отлавливал через tshark > Чудеса. > А в tshark по каким-то критериям отлавливаете? > Попробуйте в iptables прописать порт куда перекидывать: --to-destination IPServer:27017 Все это дело тестировал. tshark -f "port 27017" -i ppp0 Я писал, что пакеты дропаются еще на сервере фильтрации. Я послал 13 пакетов, ввел ifconfig и увидел dropped 13 Хотя все правила ACCEPT и форвардинг работает
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 21-Апр-20, 22:45
	>[оверквотинг удален] >>>> отрабатывал, должно заработать. >>> Конечный сервер ничего не получает. Отлавливал через tshark >> Чудеса. >> А в tshark по каким-то критериям отлавливаете? >> Попробуйте в iptables прописать порт куда перекидывать: --to-destination IPServer:27017 > Все это дело тестировал. > tshark -f "port 27017" -i ppp0 > Я писал, что пакеты дропаются еще на сервере фильтрации. > Я послал 13 пакетов, ввел ifconfig и увидел dropped 13 > Хотя все правила ACCEPT и форвардинг работает Может есть правило дропать, или я что-то не понимаю. Посмотрите iptables-save -c
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Перенаправление трафика (forwarding)"	+/–
	Сообщение от romanegunkov (ok), 21-Апр-20, 22:51
	И в довесок убедиться cat /proc/sys/net/ipv4/ip_forward cat /proc/sys/net/ipv4/conf/ppp0/forwarding cat /proc/sys/net/ipv4/conf/eth0/forwarding
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема