Привет линукс-кун! / iptables :: пидоры помогите (реактор помоги)

anon

Привет линукс-кун!

Помогите разобраться с iptables.

Есть такая схемка:

X.X.X.5: PORT GROUP,пидоры помогите,реактор помоги,iptables,удалённое

Как правильно написать редирект группы портов (условно, с 15000 до 15100) на VPN клиента за Ubuntu сервером/VPN сервером при переходе на паблик IP сервера с этими портами.

Перепробывал кучу вариантов FORWARD/PREROUTING/POSTROUTING правил но что-то не получилось.

VPN клиенты видят сервер, видят друг-друга, VPN сервер видит клиентов. Тут все ок.

Подробнее
X.X.X.5: PORT GROUP

пидоры помогите,реактор помоги,iptables,удалённое

Еще на тему

пидоры помогите(7520)

Развернуть

Комментарии 19 11.06.202115:02 ссылка -3.1

если впн-клиент не имеет шлюзом по умолчанию впн-сервер, то нужно делать два правила - dnat (для проброса порта) и snat (для маскировки внешнего ip пришедшего с интернета локальным для впн-клиента)

avelor11.06.202115:05ответить ссылка 1.5

Пробывал вот так (для одного порта):

#Разрешаем входящие подключения на 15000
iptables -A FORWARD -i eth0 -p tcp --dport 15000 -j ACCEPT

# Форвардинг 15000 eth0
iptables -t nat -A PREROUTING -p tcp -d Y.Y.Y.Y --dport 15000 -j DNAT --to-destination X.X.X.1:15000
iptables -t nat -A POSTROUTING -p tcp -d X.X.X.1 --dport 15000 -j SNAT --to-source Y.Y.Y.Y

#Разрешаем входящие подключения на 15000
iptables -A FORWARD -i ppp0 -p tcp --dport 15000 -j ACCEPT

# Форвардинг 15000 ppp0
iptables -t nat -A PREROUTING -p tcp -d X.X.X.1 --dport 15000 -j DNAT --to-destination X.X.X.5:15000
iptables -t nat -A POSTROUTING -p tcp -d X.X.X.5 --dport 15000 -j SNAT --to-source X.X.X.1

Но оно не работает.

#НЁХ 11.06.202115:12 ответить ссылка ↑ 1.5

У тебя Y.Y.Y.Y это интерфейс убунту смотрящий в интернет или адрес откуда прилетает ? Должен быть интрефейс убунту смотрящий в инет

Siegfrid 11.06.202115:29 ответить ссылка ↑ 0.0

Да, Y.Y.Y.Y это интерфейс убунту смотрящий в интернет

#НЁХ 11.06.202115:34 ответить ссылка ↑ 0.0

iptables -t nat -A PREROUTING -p tcp -d Y.Y.Y.Y --dport 15000 -j DNAT --to-destination X.X.X.5:15000
iptables -t nat -A POSTROUTING -p tcp -d X.X.X.5 --dport 15000 -j SNAT --to-source Y.Y.Y.Y
тада поидее как то так

Siegfrid 11.06.202115:36 ответить ссылка ↑ 0.0

и надо поидее
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.0./24 -j MASQUERADE
прописать что бы работало

Siegfrid 11.06.202115:32 ответить ссылка ↑ 0.0

Уже прописано

#НЁХ 11.06.202115:35 ответить ссылка ↑ 0.0

что-то перемудрили с форвардом. пробрасываем порт

iptables -t nat -A PREROUTING -p tcp -d Y.Y.Y.Y --dport 15000 -j DNAT --to-destination X.X.X.5:15000
потом SNAT-им (и прячем за локальный впн-адрес)
iptables -t nat -A POSTROUTING -p tcp -d X.X.X.5 --dport 15000 -j SNAT --to-source X.X.X.1

avelor11.06.202115:53ответить ссылка ↑ 0.6

Спасибо заработало, действительно перемудрил с форвардом)

И последний вопрос в правиле построутинга почему указывается --to-source X.X.X.1, а не Y.Y.Y.Y. (С Y.Y.Y.Y, кстати не работает)

#НЁХ 11.06.202120:46 ответить ссылка ↑ 0.0

не почему-то, а по packet flow.
смотрите. от чувака в инете с адресом допустим 1.1.1.1 приходит запрос на адрес Y.Y.Y.Y (srcip 1.1.1.1, dstip Y.Y.Y.Y). убунта такая - ок, у меня есть dnat правило, и меняет dstip на X.X.X.5. далее включается маршутизация, смотрит таблицу - ага, X.X.X.5 у нас на интерфейсе ppp0 как link-local, шлём туды (итого, пакет ушёл в ppp0, с src-ip 1.1.1.1 и dstip Х.Х.Х.5). это после правила dnat.

далее, впн-клиент X.X.X.5 получает такой пакет, и формирует на него ответ (получается srcip Х.Х.Х.5 и dstip 1.1.1.1), пакет отдаётся маршрутизации.. а Х.Х.Х.1 не является шлюзом по-умолчанию! и пакет уходит в шлюз интернета, клиент валидного ответа ессно не получает.

для этого мы добавляем правило snat. оно на убунте после принятия решения о маршрутизации подменяет srcip, и пакет уходит в ppp0 с srcip X.X.X.1 и dstip Х.Х.Х.5. впн-клиент получает такой пакет, отвечает на него согласно своей таблице маршрутизации (X.X.X.1 для него линк-локал), и поэтому ответный пакет приходит на убунту обратно, и обратными правилами возвращается до клиента в инете. это всё вы можете проверить, запустив сниффер на убунте и на впн-клиенте.

из минусов - на впн-клиенте вы не увидите реальный ip клиента, увидите именно Х.Х.Х.1. поэтому логи надо будет вести на убунте.
альтернативно - вам на впн-клиенте нужно будет настраивать маркировку трафика (mangle), и таблицы маршрутизации, чтобы ответы на входящие на х.х.х.5 пакеты уходили на х.х.х.1.
или сделать на впн-клиенте х.х.х.1 шлюзом по умолчанию.

надеюсь расписал понятно.

avelor11.06.202121:27ответить ссылка ↑ 0.7

Спасибо за подробности.
Более чем понятно)

Ни в одной из статей, никто так подробно не объяснил...

#НЁХ 11.06.202123:12 ответить ссылка ↑ 0.0

"это же очевидно" :D я думаю, что вы сами поняли бы процесс и проблему, если бы послушали трафик tcpdump-ом (или ваершарком) на всех участках пути (eth0 бубунты, ppp0 бубунты, и ppp0 впн-клиента), не стесняйтесь им пользоваться в дебаге, это только с виду страшно :)
PS про решение подобной задачи люблю спрашивать на собеседовании ;)

avelor11.06.202123:52ответить ссылка ↑ 0.6

По старой доброй традиции, я бы посоветовал спросить в фэндоме Аниме

Sergthegod 11.06.202115:07 ответить ссылка 18.5

там спецы по фряхе и pf соответственно, кстати, под линям я бы тоже его юзал - более логичнее таблиц имхо

bukiko 11.06.202116:24 ответить ссылка ↑ 0.5

Не спец по iptable, но судя по ответам отсюда https://serverfault.com/a/1017016 может быть
а) не разрешён проброс портов
б) порты закрыты фаерволом (ufw в бубунте)

wasd123i 11.06.202115:13 ответить ссылка 1.3

плюсую , у самого бывало пол дня настраиваю а только потом понимаю , что не включен был портфорвардинг, ну и маскарад забывать не стоит

aikawa122 11.06.202115:22 ответить ссылка ↑ 1.3

ipv4 форвардинг включен
ufw выключен

Спасибо за суперскую ссылку, пойду перечитаю...

#НЁХ 11.06.202115:23 ответить ссылка ↑ 0.6

вроде надо сначало сделать NAT
iptables -t nat -A POSTROUTING -s X.X.X.0/xx -o eth0 -j SNAT --to-source Y.Y.Y.Y
а потом пробросить
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 15000 -j DNAT --to-destination X.X.X.5

Блядский Касадор 11.06.202115:32 ответить ссылка 0.0

Все больше убеждаюсь, что если спросить у глубокоуважаемых пидоров реактора как сделать вечный двигатель или взрастить единорога - то даже на эти вопросы кто-то, да ответит.