Странное поведение iptables на роутере

0

2

Добрый день. Столкнулся со странным поведением iptables на роутере. Задача стоит следующая: разрешить форвардинг пакетов через маршрутизатор, предоставляющий доступ в интернеты, от определенных хостов, остальным запретить.

Делаю так:

iptables -I INPUT 1 -s 192.168.0.212 -j ACCEPT #разрешаем вход на маршрутизатор самому себе, дабы не отстрелить ногу и иметь возможность писать следующие правила
iptables -I FORWARD 2 -s 192.168.0.212 -j ACCEPT #разрешаем своему хосту форвардинг ч/з маршрутизатор
iptables -I FORWARD 3 -s 192.168.0.231 -j ACCEPT #разрешаем ворвардинг хосту 231
iptables -I FORWARD 4 -s 192.168.0.5 -j ACCEPT #разрешаем ворвардинг хосту 5
iptables -I FORWARD 5 -s 192.168.0.144 -j ACCEPT #разрешаем ворвардинг хосту 144
iptables -I FORWARD 6 -s 192.168.0.1 -j ACCEPT #разрешаем ворвардинг хосту 1
iptables -I FORWARD 7 -s 192.168.0.7 -j ACCEPT #разрешаем ворвардинг хосту 7
iptables -I INPUT 2 -s 192.168.0.160 -j ACCEPT #разрешаем вход на маршрутизатор хосту 160
iptables -I FORWARD 8 -s 192.168.0.145 -j ACCEPT #разрешаем ворвардинг хосту 145
iptables -I INPUT 3 -s 192.168.0.0/24 -j DROP #блокируем доступ на маршрутизатор обозначенной подсети
iptables -I FORWARD 9 -s 192.168.0.0/24 -p tcp --dport 80 -j DROP #блокируем форвардинг по 80 порту через маршрутизатор для указанной подсети
iptables -I FORWARD 10 -s 192.168.0.0/24 -p tcp --dport 443 -j DROP #блокируем форвардинг по 443 порту через маршрутизатор для указанной подсети

И в целом оно работает, правила вставляются в цепочки в нужном порядке, но после этого перестают быть доступны некоторые сайты, например, ok.ru, даже для тех, кому форвардинг разрешен. Остальным, соответственно, ничего не доступно. .

Что происходит: браузер устанавливает соединение и начинает TLS-рукопожатие. И этот процесс висит бесконечно. При этом большая часть сайтов с принудительным https нормально открывается.

ЧЯДНТ?

Ссылка

←	Расширение lvm раздела в виртуальной машине на VMware

не стартует ip4 только ip6

→

Я не вижу всей картины (ты не показал все правила iptables, для этого можно использовать iptables-save). Сильно похоже, что не ходит icmp, из-за чего нельзя согласовать PMTU.

Black_Shadow ★★★★★
(22.01.20 12:42:53 MSK)
Последнее исправление: Black_Shadow 22.01.20 12:47:13 MSK (всего исправлений: 1)

Ответ на: комментарий от Black_Shadow 22.01.20 12:42:53 MSK

для этого можно использовать iptables-save

Да какой там iptables-save, роутер тупой, там что-то типа busybox, соответственно, даже сам iptables там знатно порезан.

Сильно похоже, что не ходит icmp

Да не, тот же ok.ru при этом пингуется и трассировка до него работает.

Вот что

выдает iptables -Lnv, пока я не вписал новые правила (это то, что там по дефолту + перенаправления портов (NAT) в цепочке FORWARD: class="no-highlight">

 > iptables -L -n -v (policy ACCEPT 39960 packets, 3563K bytes) prot opt in     out     source               destination icmp --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0 all  --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp  --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30005 tcp  --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix `Intrusion -> ' all  --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0 (policy ACCEPT 500K packets, 37M bytes) prot opt in     out     source               destination all  --  ppp0.1 *       0.0.0.0/0            224.0.0.0/4 tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU icmp --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.7         udp dpt:32400 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.7         tcp dpt:32400 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:5901 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:5500 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.1         udp dpt:5222 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.1         tcp dpt:5222 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.144       udp dpt:80 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.144       tcp dpt:80 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.144       tcp dpt:4899 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.5         tcp dpt:55710 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.5         tcp dpt:55712 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:8521 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:80 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:443 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       udp dpt:2106 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       tcp dpt:2106 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       udp dpt:3306 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       tcp dpt:3306 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       udp dpt:7777 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       tcp dpt:7777 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.7         udp dpt:32400 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.7         tcp dpt:32400 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:5901 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:5500 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.1         udp dpt:5222 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.1         tcp dpt:5222 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.144       udp dpt:80 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.144       tcp dpt:80 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.144       tcp dpt:4899 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.5         tcp dpt:55710 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.5         tcp dpt:55712 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:8521 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:80 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.231       tcp dpt:443 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       udp dpt:2106 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       tcp dpt:2106 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       udp dpt:3306 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       tcp dpt:3306 udp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       udp dpt:7777 tcp  --  ppp0.1 *       0.0.0.0/0            192.168.0.212       tcp dpt:7777 all  --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp  --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix `Intrusion -> ' all  --  ppp0.1 *       0.0.0.0/0            0.0.0.0/0 (policy ACCEPT 5604 packets, 606K bytes) prot opt in     out     source               destination

        stiflerwen ★
 (22.01.20 13:02:50 MSK)

автор топика
        

      
          
            Ссылка





  
    

  
    

      А DNS сервер случаем не на той же машинке?

        anc ★★★★★
 (22.01.20 15:40:46 MSK)



      
          
            Показать ответ
            Ссылка
          
        
      
  
    

    
    



  





  
    
      Ответ на:
      
          комментарий
        от anc 22.01.20 15:40:46 MSK

  
    

      
DNS сервер случаем не на той же машинке?

Нее, для DNS отдельный сервер и для всего остального тоже, это тупо шлюз в интернет.

        stiflerwen ★
 (23.01.20 08:01:41 MSK)

автор топика
        
            

            Последнее исправление: stiflerwen 23.01.20 08:01:52 MSK
            (всего
              
                исправлений: 1)
          
        

      
          
            Показать ответ
            Ссылка
          
        
      
  
    

    
    



  





  
    
      Ответ на:
      
          комментарий
        от stiflerwen 23.01.20 08:01:41 MSK

  
    

      Кажется догадываюсь, после инсерта в топике у вас правило с TCPMSS улетает ниже, т.е. до него пакеты не доходят.

        anc ★★★★★
 (23.01.20 10:47:51 MSK)



      
          
            Показать ответ
            Ссылка
          
        
      
  
    

    
    



  





  
    
      Ответ на:
      
          комментарий
        от anc 23.01.20 10:47:51 MSK

  
    

      
правило с TCPMSS улетает ниже

Кажется, так и есть! Сейчас перепроверю, но я не обращал на него внимания, но что это за правило такое?

        stiflerwen ★
 (23.01.20 12:00:14 MSK)

автор топика
        

      
          
            Показать ответ
            Ссылка
          
        
      
  
    

    
    



  





  
    
      Ответ на:
      
          комментарий
        от stiflerwen 23.01.20 12:00:14 MSK

  
    

      Например описано здесь :) https://habr.com/ru/post/136871/

        anc ★★★★★
 (23.01.20 14:18:15 MSK)



      
          
            Показать ответ
            Ссылка
          
        
      
  
    

    
    



  





  
    
      Ответ на:
      
          комментарий
        от anc 23.01.20 14:18:15 MSK

  
    

      В общем, все свои правила надо писать после ACCEPT ICMP, т. е. начиная с 4 строки в цепочке FORWARD. Тогда все норм.

        stiflerwen ★
 (29.01.20 06:15:35 MSK)

автор топика
        

      
          
            Ссылка






    
        Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
      

  
    
      
        
          
              ←
            
            
              
                Расширение lvm раздела в виртуальной машине на VMware
            
          
      
    
    
      
          Admin
    
    
      
          
            
              
                не стартует ip4 только ip6
            
            
              →

Похожие темы