iptables пробросить UDP broadcast

0

3

Есть две машины. Первая живёт в подсетке 172.31.92.0/24, вторая в 192.168.0.0/24. Обе машины связаны междо собой ppp линком (сеть 10.0.0.0). В сети 172.31.92.0/24 есть хитрые желки, которые отправляют данные в своей сети бродкастом (172.31.92.255). Требуется пробросить это бродкаст на конкретную машину в сети 192.168.0.0/24 так, что бы получатель знал, что отправитель из сети 172.31.92.0/24.

Роуты настроены, т. е. с машины из подсети 192.168.0.0/24 могу пинговать машины из подсети 172.31.92.0/24 et vice vera. ssh/telnet между ними так же работает.

Пробовал на роутере из сети 172.31.92.0/24 сделать так:

iptables -t nat -I PREROUTING --dport 10026 -j DNAT --to-destination 192.168.0.84:10026

(10026 - порт, на который бродкастом шлются данные, 192.168.0.84 - тот, кто должен получать данные).

После этого на роутере в сети 172.31.92.0/24 бродкаст перестаёт приниматься, но на 192.168.0.84 ничего не приходит.

Кто может подсказать какие волшебные слова надо ещё сказать iptables, что бы всё заработало?

Ссылка

←	procmailrc подскажите?

Знатокам Cisco ASA, VPN x509

→

использовать L2 туннель

xeon_greg
(30.04.14 16:56:06 MSK)

Гляди в сторону socat. Повесить слушать порт, ответы слать в 192.168.0.255. Что-нибудь вида socat UDP4-RECVFROM:10026,fork UDP4-SENDTO:192.168.0.255:10026 должно сработать.

BOOBLIK
(30.04.14 17:17:03 MSK)

Ответ на: комментарий от xeon_greg 30.04.14 16:56:06 MSK

Не вариант - нужно не только эти UDP пробрасывать, но ещё кучу ssh/telnet связей между сетками.

marsijanin
(30.04.14 17:23:09 MSK) автор топика

Ответ на: комментарий от BOOBLIK 30.04.14 17:17:03 MSK

socat, как и netcat принимает только первый udp пакет и дальше глохнет.

marsijanin
(30.04.14 17:23:46 MSK) автор топика

Ссылка

iptables -t nat -I PREROUTING --dport 10026 -j DNAT --to-destination 192.168.0.84:10026

А покажи iptables -t nat -L, что там у тебя надобавлялось.
Да, и iptables -L FORWARD покажи.

thesis 😊😊😊😊😊
(30.04.14 17:24:40 MSK)
Последнее исправление: thesis 30.04.14 17:25:48 MSK (всего исправлений: 1)

Ответ на: комментарий от marsijanin 30.04.14 17:23:09 MSK

при чем тут ssh и telnet? бродкасты - это 2 уровень, iptables - это 3 . так понятнее и никаким правилом в Iptables ситуацию не поправить

xeon_greg
(30.04.14 17:42:40 MSK)

Ответ на: комментарий от xeon_greg 30.04.14 17:42:40 MSK

ставить опенвпн в режиме моста

xeon_greg
(30.04.14 17:44:02 MSK)

Ссылка

Ответ на: комментарий от thesis 30.04.14 17:24:40 MSK

iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination

Chain FORWARD (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination root:/> iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT udp — anywhere anywhere udp dpt:10026 to:192.168.0.84:10026

Chain INPUT (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination

Chain POSTROUTING (policy ACCEPT) target prot opt source destination

marsijanin
(30.04.14 18:11:39 MSK) автор топика

Ответ на: комментарий от marsijanin 30.04.14 18:11:39 MSK

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
root:/> iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       udp  --  anywhere             anywhere             udp dpt:10026 to:192.168.0.84:10026

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

marsijanin
(30.04.14 18:12:29 MSK) автор топика

Ссылка

Ответ на: комментарий от marsijanin 30.04.14 18:11:39 MSK

Ну вроде как надо. Или я чего-то не догоняю.

А как проверял, что пакет не прилетает к получателю? tcpdump'ом?
Покажи команду, если не лень.

thesis 😊😊😊😊😊
(30.04.14 18:21:29 MSK)

Ответ на: комментарий от thesis 30.04.14 18:21:29 MSK

господа, не путайте праведное с грешным. не ищите того чего нет. бродкасты - 2 уровень, а iptables - 3, не будет оно работать никакими правилами из iptables

xeon_greg
(30.04.14 18:23:37 MSK)

Ответ на: комментарий от xeon_greg 30.04.14 18:23:37 MSK

бродкасты - 2 уровень, а iptables - 3

Прекрати разрушать мне мозг.

thesis 😊😊😊😊😊
(30.04.14 18:25:59 MSK)

Ответ на: комментарий от thesis 30.04.14 18:25:59 MSK

ну продолжайте биться дальше о бетонную стену. Iptables бродкасты не пробросит в другую сеть

xeon_greg
(30.04.14 18:27:58 MSK)

Ответ на: комментарий от xeon_greg 30.04.14 18:27:58 MSK

Ну побьемся, чего нет.
Надо же убедиться, что это стена и она бетонная.
Еще хочу задать два вопроса по понравившемуся мне утверждению:

бродкасты - 2 уровень

DHCP бродкасты точно работают именно на втором уровне?

а iptables - 3

Действие iptables SNAT/DNAT (например) точно вносит изменения именно на третьем уровне?

thesis 😊😊😊😊😊
(30.04.14 18:32:17 MSK)
Последнее исправление: thesis 30.04.14 18:32:35 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 30.04.14 18:32:17 MSK

Делаю

iptables -t nat -I PREROUTING -p udp --dport 10026 -j DNAT --to-destination 192.168.0.84:10026

После этого бродкаст на этой машине не принимается, т.е. куда-то эти пакеты всётаки перенаправляются.

Запускаю на принимающей машине tcpdump

sudo tcpdump -vvv 'udp and port 10026'

И тишина.

Если отправить неткатом с той машины, что должна перенаправлять бродкаст пакет вручную, то его видно

18:54:28.397919 IP (tos 0x0, ttl 63, id 29207, offset 0, flags [DF], proto UDP (17), length 33)
    10.0.0.209.54864 > mars.local.10026: [udp sum ok] UDP, length 5

10.0.0.209 - адрес шлюза.

Но ни одного бродкаст пакета

marsijanin
(30.04.14 19:03:24 MSK) автор топика

а разве броадкасты натить это норм?
вроде openvpn с tap интерфейсом работает на 2м уровне. Наверное, он сможет продавить броадкасты.
Ну да, вроде ж даже виндовые шары заводили, а у них там тоже зачем-то броадкасты

ii343hbka
(30.04.14 19:35:50 MSK)

Ответ на: комментарий от xeon_greg 30.04.14 18:23:37 MSK

У него же бродкаст на уровне IP. То есть на уровне 3. Мне кажется ты что-то путаешь...

DALDON
(30.04.14 19:35:50 MSK)

Ответ на: комментарий от DALDON 30.04.14 19:35:50 MSK

Я пытаюсь перенаправить по признаку порт получателя, а не поризнаку бродкаста. При этом как я уже писал если сначала сделать

iptables -t nat -I PREROUTING -p udp --dport 10026 -j DNAT --to-destination 192.168.0.84:10026

, а потом запустить бродкаст, то он на роутере не принимается. Значит куда-то iptables их всё таки пихает, но до получателя они не доходят.

marsijanin
(30.04.14 19:47:20 MSK) автор топика

Ответ на: комментарий от marsijanin 30.04.14 19:47:20 MSK

а зачем так «192.168.0.84:10026» ? --dport отвечает за порт назначения

anonymous
(30.04.14 19:53:44 MSK)

Ссылка

Ответ на: комментарий от marsijanin 30.04.14 19:03:24 MSK

Ну фиг знает, стало быть.
Я тут подумал - может, ядро просто отказывается роутить пакеты, для которых ip указан, а mac - нет. В общем, костыль не удался.

thesis 😊😊😊😊😊
(30.04.14 20:01:40 MSK)
Последнее исправление: thesis 30.04.14 20:02:00 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 30.04.14 20:01:40 MSK

Ядро самосборное, потому что buildroot. Пока я не включил что-то в недрах menuconfig'а бродкаст вообще не принимался. Как вариант может нужно сделать echo 1 > /proc/куда-то там?

marsijanin
(30.04.14 20:04:56 MSK) автор топика