LINUX.ORG.RU
решено ФорумAdmin

Откровенный разговор об Iptables и сексе


0

2

Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). Это 2 физически разные сети. Между ними стоит маршрутизатор на базе Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между ними настроена машрутеризация. Из общей сети организации запрещен доступ к сети бухгалтерии, а бухгалтерия ходит в общую сеть организации только строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.).

Есть скрипт iptables.sh

#!/bin/bash

net_buh=10.72.101.0/25



iptables -F

iptables -X

iptables -t nat -F



iptables -P FORWARD ACCEPT

iptables -P OUTPUT  ACCEPT



iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT



iptables -t nat -A POSTROUTING -s $net_buh -o eth0 -j SNAT --to-source 10.72.143.249



iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT



iptables -A FORWARD -s $net_buh -d 10.72.143.198/32 -j ACCEPT

iptables -A FORWARD -s 10.72.143.198/32 -d $net_buh -j ACCEPT



iptables -A FORWARD -j DROP
Всё работает, всё пингуется, но не долго 1 раз в 10-15 минут соединение с Гарантом может оборваться, но с антивирусником работать. Или рвётся с антивирусником, а с домен-контроллером и Гарантом пинги идут прекрасно. Сетевые кабеля я проверил кабельным тестером — все жилы рабочие. Ошибки на сетевых картах по нулям. RX packets:3474502 errors:0 dropped:0 overruns:0 frame:0

TX packets:4237259 errors:0 dropped:0 overruns:0 carrier:2

Сетевые кабеля переткнул в другие порты коммутатора. Сетевым анализатором Wireshark проверил трафик, битых пакетов, какой-то бурной активности (вроде вирусной) не заметно. Логи на Alt Linux чистые — ошибок нет. Из внутренней сети организации все сервера прекрасно пингуются проблем нет. В форумах почитал про потерю\подмену mac-адресов — mac-адреса стабильные. Если в приведённом скрипте убрать NAT — и прописать внешнею маршрутизацию, то скорость доступа к сети организации падаёт в разы. Никакой хитрой маршрутизации, кроме то, что по умолчанию нет. Но проблема остаётся в бухгалтерии остаётся. А теперь о сексе. Когда сетевые соединения отваливаются, Гарант падает с ошибкой. Несколько раз в день бухгалтерия меня имеет, но не тело, а выносит мозг. Чем-то напоминает изнасилование. ;) Поэтому как настроить файервалл с Alt Linux, чтобы секс со стороны бухгалтерии прекратить? ;)

Kостыль - подкрутить таймауты на нате, не факт что поможет. Не костыль - убрать нафиг нат. Вообще практически всегда нат внутреннего трафик - это костыль с которым нужно бороться. Что такое «внешняя маршрутизация» мне неведомо.

ventilator ★★★ ()

Бывает такое что линуксовый NAT иногда тупо не срабатывает и отправляет пакет с оригинальным адресом. Может у тебя как раз такой случай )

o ()

Нужно отнести вот это «Гарантом» в бухгалтерию , делов то...

ukr_unix_user ★★★★ ()
Ответ на: комментарий от ventilator

А есть пруф по этому поводу? В linux-netdev рассылке к примеру?

Должно быть. Вроде известная проблема. Сам лично сталкивался последний раз с неделю назад — у провайдера в логах нашлись записи с адресами моей машина из-за NAT`а.

o ()
Ответ на: комментарий от anton_jugatsu

anton_jugatsu> Зачем здесь нат?

кому-то лень прописать static routes на паре-тройке компов (Гарант(10.72.143.198), антивирус, и т.д.).

sdio ★★★★★ ()

вариант а) конфликт адресов (mac или ip)

вариант б) ограничение на число подключений. На гаранте или на маршрутизаторе.

ИМХО, обязательно нужно запустить копию tcpdump на каждом интерфейсе маршрутизатора. Когда проблема случится ( и пройдёт ! ) - смотреть в дампах что это было

router ★★★★★ ()
Ответ на: комментарий от ventilator

Не слыхали так не слыхали. Искренне рад за твоих мужиков :)

o ()
Ответ на: комментарий от o

>Вроде известная проблема. Сам лично сталкивался последний раз с неделю назад — у провайдера в логах нашлись записи с адресами моей машина из-за NAT`а.

В 100 случаях из 100 «неправильная маршрутизации в линукс» оказывается ошибкой настраивающего. Линк на обсуждение, пожалуйста

router ★★★★★ ()
Ответ на: комментарий от sin_a

sin_a> Маршруты-то можно наверно и на шлюзе прописать. Зачем на клиенте что-то лишнее делать.

Это в бухгалтерии default gateway этот вышеупомянутый ALT, а в остальной сети компы о бухгалтерии ничего не знают и идут на свой default gateway, который, скорее всего, шлюз в Интернет, а не этот ALT

sdio ★★★★★ ()

Не увидел в твоих правилах строго определённых _серверов_, только один «Гарант». Короче, если хочешь помощи, нарисую схему. И где ты проверял трафик, на каком хосте, что значит битые пикс^Wпакеты?

anton_jugatsu ★★★★ ()
Ответ на: комментарий от router

>В 100 случаях из 100 «неправильная маршрутизации в линукс» оказывается ошибкой настраивающего. Линк на обсуждение, пожалуйста

+1 У меня тоже когда-то роутер посылал пакеты с левыми адресами в сеть. Потом я переписал правила iptables и проблема изчезла.

Rost ★★★★★ ()
Ответ на: комментарий от sdio

>Это в бухгалтерии default gateway этот вышеупомянутый ALT, а в остальной сети компы о бухгалтерии ничего не знают и идут на свой default gateway, который, скорее всего, шлюз в Интернет, а не этот ALT

Зато этот другой шлюз может их редиректить на нужный шлюз. Через ICMP, если ничего не путаю. Или сам маршрутизовать

router ★★★★★ ()
Ответ на: комментарий от sdio

>кому-то лень прописать

Не всё так очевидно. ТС в предыдущей теме уверял что всё работает и даже отметил её решённой. А теперь внезапно выяснилось:

Если в приведённом скрипте убрать NAT — и прописать внешнею маршрутизацию, то скорость доступа к сети организации падаёт в разы.

mky ★★★★★ ()

Как уже написали выше, надо стараться избегать НАТа внутри сети. ТЕМ БОЛЕЕ для трафика SMB, который через нат работает хреново.

anonymous ()
Ответ на: комментарий от anonymous

>ТЕМ БОЛЕЕ для трафика SMB, который через нат работает хреново.

Не сталкивался с такой проблемой. ТЕМ БОЛЕЕ есть соответствующие модули для трекинга соединений.

madcore ★★★★★ ()
Ответ на: комментарий от madcore

Ната куча реализаций если говорить вобщем. И далеко не везде есть нормальные модули под over9000 протоколов как в линуксе. Принципиально неверно натить внутрисетевой трафик и результат топикстартера есть пример косяков которые как раз возникли из-за неверного дизайна.

ventilator ★★★ ()
Ответ на: комментарий от GreyDoom

Ну им как бы есть возможность не пользоваться... :)

sin_a ★★★★★ ()
Ответ на: комментарий от madcore

>Не сталкивался с такой проблемой.

Я сталкивался лет 5 назад на фре, когда умный админ также натил сеть бухгалтерии. Через natd. Никаких специфичных настроек не делалось, все стандартно. Проблема возникала примерно как у ТС, переодически закачка с файлсервера отваливалась. Чем больше народу качало, тем чаще отваливалось.

anonymous ()
Ответ на: комментарий от ventilator

ТС изначально горит о iptables и linux. Эти ваши самбы через нат работают десяток лет даже на говнороутерах с прошивкой на основе 2.4-ведра.

madcore ★★★★★ ()
Ответ на: комментарий от anonymous

>Я сталкивался лет 5 назад на фре, когда умный админ также натил сеть бухгалтерии.

natd лет 5 назад вообще странно, ибо был уже ipfw, который успели сменить на pf. В любом случае в линукс все проще и безопаснее с трекерами, не нужно дополнительные порты превентивно открывать непонятно куда. В pf вроде все гибче, но ручной работы больше.

madcore ★★★★★ ()
Ответ на: комментарий от sin_a

>Что не отменяет того факта, что если можно обойтись без ната то лучше обойтись без ната.

Лучше бы обойтись без самба, если есть возможность :) Но чем мешает нат в данной проблеме я не в курсе. Есть, например, протоколы, которые с натом не дружат, но тут ничего такого нет.
Кстати, 2TC, гарант файл-серверный или клиент-серверный? Для второго, возможно, поломано подключение с одного айпи нескольких клиентов..

madcore ★★★★★ ()
Ответ на: комментарий от Nastishka

>В приличных местах за NAT на внутренних сетях системных администраторов увольняют...

Есть вакансии?

madcore ★★★★★ ()
Ответ на: комментарий от madcore

> Но чем мешает нат в данной проблеме я не в курсе.

Я не у курсе, чем мешает нат в данной проблеме, и мешает ли, но очевидно что если в каком-то механизме необходимости нет то лучше его не использовать.

sin_a ★★★★★ ()
Ответ на: комментарий от madcore

>Есть, например, протоколы, которые с натом не дружат, но тут ничего такого нет.
Да, давайте скажем что у ТС ничего такого нет, это ему показалось что какие то проблемы.

ventilator ★★★ ()

во первых из двух фраз «c 2 интерфейсами 10.72.143.166 и 10.72.101.126» и "-j SNAT --to-source 10.72.143.249" одна ложь :)

во вторых судя по размеру маски /21 - сетка немаленькая. Наверняка висит AD и пользователи/компы ходят авторизованные. Кроме бухгалтерии, потому-что она за nat`ом. То есть при работе с Гарантом/Антивирусом/любым-файл-сервером бухгалтерия попадает под существенные ограничения (наверное под domain guest, но могу ошибаться).

А вот какие есть ограничения по числу сессий/файлов на один IP для гостей домена - это уже не тут надо спрашивать :)

MKuznetsov ★★★★★ ()
Ответ на: комментарий от Nastishka

В приличных местах за NAT на внутренних сетях системных администраторов увольняют...

Увы иногда приходится, особенно если часть сети контролируется удаленным админом и причем со частично пересекающимися адресами.

Atlant ★★★★★ ()
Ответ на: комментарий от MKuznetsov

> А вот какие есть ограничения по числу сессий/файлов на один IP для гостей домена - это уже не тут надо спрашивать :) Вообще то никаких особенных...

anonymous ()
Ответ на: комментарий от Atlant

> Увы иногда приходится, особенно если часть сети контролируется удаленным админом и причем со частично пересекающимися адресами.

Ну тут у нас явно не такая ситуация

anonymous ()
Ответ на: комментарий от ventilator

>Да, давайте скажем что у ТС ничего такого нет, это ему показалось что какие то проблемы.

Нет, давайте расскажем сказки про нат и самбу, ему от этого легче станет.

madcore ★★★★★ ()

Народ, убрал NAT. Прописал статические маршруты — без безрезультатно— всё равно — всё отваливается. Насчёт - низкой скорости без NAT — проблема оказалась в очень плохом ещё одном внутреннем маршрутизаторе. Топология сети достаточно сложная, поэтому я загружать не стал народ загружать информацией, как функционируют 3 канала связи и 4 разные сети в одной организации. В локальной сети 300 компьютеров и еще 26 филиалов.

Просто я работаю в госконторе — и была поставка оборудования от отечественного производителя — туннелирующего маршрутизатора. А сейчас не падайте со стула - он под DOS. Использует 640 Кб оперативной памяти из 1 Гигабайта имеющейся. Наименование поставщика я умолчу — но наименование маршрутизатора перекликается с чем-то с именем древнегреческого бога виноделия. Вообщем, оборудование Dlink и Huawei — верх стабильности и надежности, по сравнению с этим унылым г. У него один плюс сертифицирован в ФСТЭК больше плюсов нет. Вот и защищаем персональные данные в бухгалтерии при помощи этого сертифицированного оборудования. Пока идут попытки сделать конфетку из непонятно чего. Вот он и глючит и под DOS и под Linux. Что напаяли наши доблестные электронщики и встроили в этот компьютер — тайна покрытая мраком.

Я поступил более радикально — сменил коммутатор бухгалтерии, перетянул провода до коммутатора, компьютер с Alt Linux вообще выключил, а в качестве маршрутизатора стал использовать Cisco. Пока всё работает.

«В приличных местах за NAT на внутренних сетях системных администраторов увольняют...»
Тут не увольняют — здесь госконтора, работать не кому — текучка итак страшная.

«Есть вакансии?»
Есть, обзвони госучреждения — больницы, школы, статистику и т. д. Любому адекватному компьютерщику будут только рады — админу со знанием Linux, Cisco — и зарплату предложат хорошую — 10 -12 тыс. руб.

orion55 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.