iptables probléma???
Sziasztok! Eddig a következő konfigurációban használtam Zorp-ot - Zorp 3.1.15a - tproxy 2.06 (ez nem biztos) - kernel 2.6.18 - iptables 1.3.8 Ezzel minden ment. Most fordítottam egy új kernelt: 2.6.22 és 4.0.0-ás tproxy-val patch-eltem meg. A reboot után egyből feltűnt, hogy a tproxy-nak már csak PREROUTING lánca van OUTPUT nincs. (természetesen az iptables-t is újrafordítottam a hozzátartozó patch-el) A problémám az, hogy a TPROXY felé egyetlen csomag sem megy, így nem is tudom redirectelni... iptables -t tproxy -L -v : Chain PREROUTING (policy ACCEPT 771 packets, 88711 bytes) pkts bytes target prot opt in out source destination 2 92 DROP tcp -- any any anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN 0 0 TPROXY tcp -- eth0 any anywhere anywhere tcp dpt:www TPROXY redirect 0.0.0.0:50080 0 0 TPROXY tcp -- eth0 any anywhere anywhere tcp dpt:ftp TPROXY redirect 0.0.0.0:50021 Nem tudom, hogy mit ronthattam el... 4.0-ás tproxy-nál a fentieket már máshogy kell csinálni? A válaszokat előre is köszönöm. Üdv: Krisztián
On Tue, Mar 03, 2009 at 11:08:52AM +0100, Csányi Krisztián wrote:
Nem tudom, hogy mit ronthattam el... 4.0-ás tproxy-nál a fentieket már máshogy kell csinálni?
Esetleg probald meg az iptable_tproxy modult tproxy_any=1 opcioval betolteni. -- Udvozlettel Zsiga
Hi! On Tue, 2009-03-03 at 11:08 +0100, Csányi Krisztián wrote:
iptables -t tproxy -L -v : Chain PREROUTING (policy ACCEPT 771 packets, 88711 bytes) pkts bytes target prot opt in out source destination 2 92 DROP tcp -- any any anywhere
Ugy latom, hogy megy az, csak nagyon hamar eldobodik. Ez, ha jol sejtem akkor egy ! --syn -j DROP sor. Ha igazam van, akkor ezt vedd ki es jo lesz. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szia! Erre gondoltam én is. Sajnos ha kiveszem akkor sem megy. Olyan mintha a két szabály nem fogná meg a csomagokat. Tehát nem redirecteli az 50080-ra és az 50021-re. Azért köszönöm. Üdv: Krisztián
Hi! On Tue, 2009-03-03 at 12:33 +0100, Csányi Krisztián wrote:
Erre gondoltam én is. Sajnos ha kiveszem akkor sem megy. Olyan mintha a két szabály nem fogná meg a csomagokat. Tehát nem redirecteli az 50080-ra és az 50021-re.
Kerdes, hogy igy mit mond az iptables -L -v? Mi van, ha a tproxy PREROUTING tablajanak elejere beraksz egy -j LOG sort? A Zorp milyen IP cimen figyel? -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila írta:
Hi!
On Tue, 2009-03-03 at 12:33 +0100, Csányi Krisztián wrote:
Erre gondoltam én is. Sajnos ha kiveszem akkor sem megy. Olyan mintha a két szabály nem fogná meg a csomagokat. Tehát nem redirecteli az 50080-ra és az 50021-re.
Kerdes, hogy igy mit mond az iptables -L -v?
Mi van, ha a tproxy PREROUTING tablajanak elejere beraksz egy -j LOG sort?
A Zorp milyen IP cimen figyel?
Az iptables -L -v -n kimenete: Az SSH-ra vonatkozó részt kiszedegettem, mert elég hosszú lista volt. Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 98582 4351K NOISE all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset 26 8675 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 tproxy 98031 4312K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 state RELATED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 state RELATED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 state RELATED 0 0 DROP all -- * * 0.0.0.0/0 1.2.3.4 398 18099 LOoutside all -- eth0 * 0.0.0.0/0 $kulso_ip 22 1132 LOlo all -- lo * 0.0.0.0/0 0.0.0.0/0 5 140 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `DROP_INPUT ' 5 140 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 162K packets, 239M bytes) pkts bytes target prot opt in out source destination Chain LOlo (1 references) pkts bytes target prot opt in out source destination 1 40 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:60000 21 1092 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:111 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `DROP_LOlo ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain LOoutside (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 84.206.45.50 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 92.249.173.3 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 195.228.187.50 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 85.216.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 80.85.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 88.209.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 212.40.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 81.131.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 85.66.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 85.67.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 78.92.139.0/24 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 80.98.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 81.182.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 195.56.172.0/24 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 213.151.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 81.183.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 89.134.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 89.133.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 92.52.0.0/16 0.0.0.0/0 tcp dpt:22 2 100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 25 1240 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 371 16759 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `DROP_LOoutside ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain NOISE (1 references) pkts bytes target prot opt in out source destination 0 0 DROP icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8 73 8411 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 27 2565 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5678 98482 4340K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 A tproxy prerouting táblájának az elejére raktam már előbb -j LOG -ot. Most ez van benne: Chain PREROUTING (policy ACCEPT 325 packets, 37647 bytes) pkts bytes target prot opt in out source destination 19 768 LOG tcp -- any any anywhere anywhere LOG level warning prefix `TPROXY ' 0 0 TPROXY tcp -- eth0 any anywhere anywhere tcp dpt:www TPROXY redirect 0.0.0.0:50080 0 0 TPROXY tcp -- eth0 any anywhere anywhere tcp dpt:ftp TPROXY redirect 0.0.0.0:50021 Látszik hogy 325 packet érkezett és ehhez képest mennyi lett loggolva? : Mar 3 13:09:31 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=84.3.175.156 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=8316 PROTO=TCP SPT=1262 DPT=44378 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:09:31 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=84.3.175.156 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=8317 PROTO=TCP SPT=1262 DPT=44378 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0 Mar 3 13:13:29 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=79.126.200.67 DST=kulso_ip LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=766 DF PROTO=TCP SPT=80 DPT=1024 WINDOW=8192 RES=0x00 ACK SYN URGP=0 Mar 3 13:18:37 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=94.128.101.130 DST=kulso_ip LEN=64 TOS=0x00 PREC=0x00 TTL=27 ID=43923 DF PROTO=TCP SPT=2612 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0 Mar 3 13:18:40 ksze TPROXY IN=eth0 OUT= MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=94.128.101.130 DST=kulso_ip LEN=64 TOS=0x00 PREC=0x00 TTL=27 ID=44448 DF PROTO=TCP SPT=2612 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0 Zorp hol figyel: netstat -tapn: Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:50080 0.0.0.0:* LISTEN 3510/zorp tcp 0 0 0.0.0.0:50021 0.0.0.0:* LISTEN 3510/zorp Van a szerveren egy apache és vsftp. Mivel elég kis költségvetésű projekt így nem volt lehetőség arra, hogy szétszedjem a tűzfal funkciókat a web és ftp-től. Ha beírom a gép ip-jét egy böngészőbe akkor megjelenik a weblap, de nem a Zorp-on keresztül, hanem csak simán az apache válaszol. (Zorp nem loggol semmit). Próbáltam úgy, hogy az 50080-as portot kintről megnyitottam úgy már a Zorp-hoz került a kérés. Próbáltam úgy is, hogy nem 0.0.0.0-án figyeltetem a zorp-ot hanem a külső ip-n, de úgy sem ment. Még akkor sem ha a preroutingnál megadtam, hogy --on-ip kulso_ip Üdv: Krisztián
participants (3)
-
Csányi Krisztián
-
Kosa Attila
-
Szalay Attila