[NAT] règle non fonctionelle .(resolu soucis de mac)

Message par **yoplait21** » sam. 30 juil. 2016 11:50

edit en cours ...

je pensais avoir du traffic sur bond0 en ssh ... ouaips c'était mes sessions existantes .... donc rien de plus, le NAT toujours ko

pour éviter la pollution avec tcpdump sur le port 22 j'utilise d'autres ports mais même sentence .. le pire c'est que je vois bien la règle mais non .. il ne veut pas ..

Code : Tout sélectionner

$IPTABLES -A FORWARD -p tcp --dport 3332 -i eth0 -o bond0 -d 192.168.254.254 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -m tcp --dport 666 -j DNAT --to-destination 192.168.254.254:3332

Code : Tout sélectionner

root@vpn-wan:~# iptables -t nat -L -vv | grep 666
    0     0 DNAT       tcp  --  eth0   any     anywhere             anywhere             tcp dpt:666 to:192.168.254.254:3332
root@vpn-wan:~#

Code : Tout sélectionner

root@vpn-wan:~# ssh 192.168.254.254 -p 3332
root@192.168.254.254's password:

Message par **c0bw3b** » sam. 30 juil. 2016 15:20

J'ai pas tout lu donc je vais p'tet dire des conneries mais :
- Ta cible SSH c'est 192.168.254.254 ou 192.168.1.254 ? Si réponse 2 alors il te manquerait une règle ACCEPT à destination de cette IP // cf ce tuto la remarque juste avant le titre 7.4.1
- C'est un peu le bordel avec ton port exposé sur la patte extérieur de ton routeur local : 3332 ou 666 ?
- En dernier recours, remplacer la règle par défaut DROP de la chaîne FORWARD par une règle LOG puis... regarder les logs ^^

En bonus, je sais pas si tu connais Shorewall mais c'est vraiment pratique pour configurer un routeur/fw sans perdre ses petits. Tu définis tes zones LAN/WAN, tes règles de filtrage et de NAT avec des macros et des fichiers plats plus lisibles qu'un paquet de rules iptables. Par ex du DNAT :
http://shorewall.org/two-interface.htm#DNAT

Message par **yoplait21** » sam. 30 juil. 2016 16:23

- la cible ssh c'est 192.168.254.254, c'est la patte wan de mon pfsense qui ensuite redirige sur 192.168.1.250, dans tous les cas, le nat n'arrive pas sur la patte wan pfsense.
- le port exposé sur la patte wan du pfsense local en 192.168.254.254 est le 3332, mais le port d'entréer par la patte wan du serveur openvpn est en 666 (pour tests) .. faut considérer que j'ai 3 "routeurs" du coup: le vpn wan, vpn lan puis le pfsense. pour rappel, le nat déconne entre vpn wan et vpn lan.
-pour les logs, j'ai commencé à regarder ce qui est faisable mais c'est encore obscur .. je ne comprend pas le DROP .. je n'en ai pas ^^

Merci pour shorewall mais étant donné la configuration bond openvpn j'ai plus peur que ça foute le bronx que m'aider .. j'avais fait une tentative avec ufw et toutes mes règles avaient sautées .. hors je ne maitrise pas la "magie" de ces commandes qui permettent le surf depuis le lan à travers le bond ni comment les intégrer avec shorewall ou bien ufw :

Code : Tout sélectionner

$IPTABLES -A FORWARD -o eth0 -i bond0 -s 192.168.254.0/24 -m conntrack --ctstate NEW -j ACCEPT
$IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A POSTROUTING -t nat -o eth0 -j MASQUERADE
$IPTABLES -A POSTROUTING -t nat -o bond0 -j MASQUERADE

dans tous les cas, vas falloir que je m'y mette

EDIT = je viens de regarder shorewall en détail et ... c'est overkill pour mes besoins ... je veux vraiment comprendre ou j'ai merdé plutot que d'installer un firewall complet .. pour le moment ^^

Message par **yoplait21** » sam. 30 juil. 2016 17:36

ok ... je pense avoir mis le doigt sur un problème un peu plus ... space ..

j'ai installé UFW pour tests ... et dans les logs je trouve :

Code : Tout sélectionner

Jul 30 17:25:57 vpn-wan kernel: [  194.875659] [UFW BLOCK] [b][i][#FF1C00]IN=eth1[/#FF1C00][/i][/b] OUT= MAC=xx:50:56:09:xx:50:00:xx:c3:84:xx:00:08:00 SRC=INITIATEURWAN DST=IPWANVPN LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=60579 DF PROTO=TCP SPT=45924 DPT=666 WINDOW=29200 RES=0x00 SYN URGP=0

... gros gros bordel ... eth1 est une autre ip publique ... pourquoi le système considère que ETH1 répond sur l'ip de ETH0 ... O_o ...

EDIT ...

dans le doute je tente de me connecter à mes 4 ip publiques .... et PAF ça fonctionne avec la quatrième !!!! donc depuis le début les règles sont bonnes (ou presque ^^)....
pause bière / papier crayon pour mieux comprendre la soupe

Message par **yoplait21** » sam. 30 juil. 2016 17:59

OUAISSSSS ....

je suis un tocard ... c'est gravé dans le marbre ....

je m'explique ... serveur chez soyoustart avec 16 ip failover et un esx d'installé ... sauf que comme un con j'ai interverti des macs et des ips ..... voila ... je m'ouvre une bière pour fêter la découverte de l'étendue de ma connerie et je remet ça propre ^^

Merci pour votre patience et votre indulgence (j'en vois au fond qui sont pliés en deux et un devant qui pleure .... )

Message par **c0bw3b** » sam. 30 juil. 2016 18:35

Héhéhé j'avais effectivement mal compris le prob mais c'est cool que t'ai trouvé le schisme

Bonne bière.
Et t'as raison de vouloir arriver à le faire à la main on apprend mieux