Iptables (снова про проброс портов)

0

1

Дано: debian в локалке 192.168.1.0/24 с интерфейсом ens192 и туннель openvpn tun0 в далёкую даль

1: lo: ....
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:d3:80:59 brd ff:ff:ff:ff:ff:ff
    altname enp11s0
    inet 192.168.1.65/24 brd 192.168.1.255 scope global ens192
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fed3:8059/64 scope link
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none
    inet 10.8.0.66/24 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::6e6d:bf82:7e44:afe6/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

Задача: нужно чтобы пользователи openvpn (10.8.0.0/24) имели доступ к 192.168.1.66 по https (это другая машина в локалке), если вводят в браузере https://10.8.0.66:443 (это наш debian в подсети openvpn)

Клиенты openvpn друг друга видят без проблем.

Хотел пробросить порты в iptables, но не работает. Остальное в iptables по умолчанию (всё открыто).

iptables -A FORWARD -i tun0 -o ens192 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.8.0.66 --dport 443 -j DNAT --to-destination 192.168.1.66:443
iptables -t nat -A POSTROUTING -p tcp --sport 443 --dst 192.168.1.66 -j SNAT --to-source 10.8.0.66:443

Смотрел через tcpdump - пакеты нормально долетают из tun0, а потом летят на 192.168.1.66, но в ответ тишина.

Помогите, пожалуйста. Голову сломал уже.

Ссылка

←	Смена владельца каталога/файла, после обновления Arch-а

Объясните данные правила iptables

→

… SNAT –to-source 192.168.1.65

futurama ★★★★★
(13.02.22 10:36:00 MSK)
Последнее исправление: futurama 13.02.22 10:36:22 MSK (всего исправлений: 1)

альтернативный вариант: установить nginx как реверс-прокси на адрес 10.8.0.66

futurama ★★★★★
(13.02.22 10:39:21 MSK)

Ссылка

Ответ на: комментарий от futurama 13.02.22 10:36:00 MSK

Исправил, но не помогло(

tcpdump port 443 -i ens192
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), snapshot length 262144 bytes
07:45:35.187104 IP 10.8.0.2.54591 > 192.168.1.66.https: Flags [S], seq 1544433926, win 64240, options [mss 1358,nop,wscale 8,nop,nop,sackOK], length 0
07:45:35.187150 IP 10.8.0.2.54592 > 192.168.1.66.https: Flags [S], seq 1638854419, win 64240, options [mss 1358,nop,wscale 8,nop,nop,sackOK], length 0
07:45:35.437530 IP 10.8.0.2.54593 > 192.168.1.66.https: Flags [S], seq 2285114017, win 64240, options [mss 1358,nop,wscale 8,nop,nop,sackOK], length 0

tcpdump port 443 -i tun0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes
07:47:10.781788 IP 10.8.0.2.54731 > ovpn-tunnel.https: Flags [S], seq 222153586, win 64240, options [mss 1358,nop,wscale 8,nop,nop,sackOK], length 0
07:47:10.781912 IP 10.8.0.2.54732 > ovpn-tunnel.https: Flags [S], seq 4246392654, win 64240, options [mss 1358,nop,wscale 8,nop,nop,sackOK], length 0
07:47:11.032943 IP 10.8.0.2.54733 > ovpn-tunnel.https: Flags [S], seq 1914391765, win 64240, options [mss 1358,nop,wscale 8,nop,nop,sackOK], length 0

Про nginx думал, но мне надо еще по RDP машину из локалки по такой же схеме пробросить, поэтому nginx не подходит (

dst123
(13.02.22 10:49:22 MSK) автор топика

маскарадинг?

~~naKovoNapalBaran~~ ★
(13.02.22 11:00:16 MSK)

Ссылка

Ответ на: комментарий от dst123 13.02.22 10:49:22 MSK

run tcpdump on 192.168.1.66

пакеты должны приходить с адреса 192.168.1.65, а не 10.8.0.2

когда пакеты начнут возвращаться понадобится доп. правило

iptables -A FORWARD -o tun0 -i ens192 -j ACCEPT

futurama ★★★★★
(13.02.22 12:35:02 MSK)
Последнее исправление: futurama 13.02.22 12:36:47 MSK (всего исправлений: 1)

Ответ на: комментарий от futurama 13.02.22 12:35:02 MSK

Вы совершенно правы. Запустил tcpdump на 192.168.1.66, пакеты долетают, но приходят с 10.8.0.2, а не с 192.168.1.65

Подскажите, как исправить?

dst123
(13.02.22 13:46:40 MSK) автор топика

Ответ на: комментарий от dst123 13.02.22 13:46:40 MSK

replace

iptables -t nat -A POSTROUTING -p tcp –sport 443 –dst 192.168.1.66 -j SNAT –to-source 10.8.0.66:443

iptables -t nat -A POSTROUTING -p tcp –sport 443 –dst 192.168.1.66 -o ens192 -j MASQUERADE

futurama ★★★★★
(13.02.22 13:58:38 MSK)
Последнее исправление: futurama 13.02.22 13:59:07 MSK (всего исправлений: 1)

Ответ на: комментарий от futurama 13.02.22 13:58:38 MSK

я контекста не читал, но заменять SNAT на MASQUERADE - дно, а не совет.

Anoxemian ★★★★★
(13.02.22 14:20:09 MSK)

Ответ на: комментарий от Anoxemian 13.02.22 14:20:09 MSK

Не всегда и не везде.

anc ★★★★★
(13.02.22 14:21:32 MSK)

Ответ на: комментарий от anc 13.02.22 14:21:32 MSK

нет таких ситуаций, предположи где и когда это может понадобиться?

Anoxemian ★★★★★
(13.02.22 14:23:00 MSK)

Ответ на: комментарий от Anoxemian 13.02.22 14:23:00 MSK

Динамический адрес.

anc ★★★★★
(13.02.22 14:24:03 MSK)

Ответ на: комментарий от anc 13.02.22 14:24:03 MSK

Динамический адрес.

и? он секретный чтоли?

Anoxemian ★★★★★
(13.02.22 14:25:17 MSK)

Ответ на: комментарий от Anoxemian 13.02.22 14:20:09 MSK

Да это был танец с бубном

возможно пакеты исходящие из VPN считаются локальными и надо СНАТ пихать в ИНПУТ

iptables -t nat -A INPUT -p tcp –sport 443 –dst 192.168.1.66 -j SNAT –to-source 192.168.1.65

futurama ★★★★★
(13.02.22 14:29:14 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 13.02.22 14:25:17 MSK

Нет, но присобачивать хук ради.. только ради... смысла ровно ноль.

anc ★★★★★
(13.02.22 14:31:58 MSK)

Ссылка

Ответ на: комментарий от futurama 13.02.22 13:58:38 MSK

СПАСИБО! Всё заработало как надо.

dst123
(13.02.22 14:33:21 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 13.02.22 14:24:03 MSK

это единственный случай когда MASQUERADE уместен. ибо по сути он тоже самое, но медленнее.

mumpster ★★★★★
(15.02.22 19:50:47 MSK)

Ответ на: комментарий от mumpster 15.02.22 19:50:47 MSK

У маскарада другие минусы, нежели скорость.

anc ★★★★★
(15.02.22 19:55:44 MSK)

Ответ на: комментарий от anc 15.02.22 19:55:44 MSK

и скорость - тоже. вообще это написано в докции:

MASQUERADE incurs extra overhead and is slower than SNAT because each time MASQUERADE target gets hit by a packet, it has to check for the IP address to use.

mumpster ★★★★★
(15.02.22 20:04:37 MSK)

Ответ на: комментарий от mumpster 15.02.22 20:04:37 MSK

Это есть, но в 2022 сильно зависит от того на какой кофеварке запущено.

anc ★★★★★
(15.02.22 20:07:19 MSK)

Ответ на: комментарий от anc 15.02.22 20:07:19 MSK

причём тут кофеварки? это в любом случае много доп. тактов на любой архитектуре:

newsrc = inet_select_addr(out, nh, RT_SCOPE_UNIVERSE);

транслируется больше чем 20 строчек кода только в самой подпрограмме

вызов и возврат с параметрами на стеке (CALL+RET)

mumpster ★★★★★
(15.02.22 20:47:16 MSK)

Ответ на: комментарий от mumpster 15.02.22 20:47:16 MSK

И?

anc ★★★★★
(15.02.22 20:52:52 MSK)

Ответ на: комментарий от anc 15.02.22 20:52:52 MSK

чо сам прикинуть не можешь чоле?

даже для рязани с озёрами - это стресс со сбросом кэшей и т.п.

mumpster ★★★★★
(15.02.22 21:48:52 MSK)

Ответ на: комментарий от mumpster 15.02.22 21:48:52 MSK

Ну да, ну да... мы все умрем и всё такое.

anc ★★★★★
(15.02.22 22:00:18 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Смена владельца каталога/файла, после обновления Arch-а

Admin

Объясните данные правила iptables

→

Похожие темы