[zorp-hu] iptables probléma???

Csányi Krisztián chris at eotvos19.hu
2009. Már. 3., K, 13:31:39 CET


Szalay Attila írta:
> Hi!
>
> On Tue, 2009-03-03 at 12:33 +0100, Csányi Krisztián wrote:
>   
>> Erre gondoltam én is. Sajnos ha kiveszem akkor sem megy.
>> Olyan mintha a két szabály nem fogná meg a csomagokat. Tehát nem
>> redirecteli az 50080-ra és az 50021-re.
>>     
>
> Kerdes, hogy igy mit mond az iptables -L -v?
>
> Mi van, ha a tproxy PREROUTING tablajanak elejere beraksz egy -j LOG
> sort?
>
> A Zorp milyen IP cimen figyel?
>   
Az iptables -L -v -n kimenete:
Az SSH-ra vonatkozó részt kiszedegettem, mert elég hosszú lista volt.

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
98582 4351K NOISE all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset
26 8675 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 tproxy
98031 4312K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 state RELATED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 state RELATED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 state RELATED
0 0 DROP all -- * * 0.0.0.0/0 1.2.3.4
398 18099 LOoutside all -- eth0 * 0.0.0.0/0 $kulso_ip
22 1132 LOlo all -- lo * 0.0.0.0/0 0.0.0.0/0
5 140 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix 
`DROP_INPUT '
5 140 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 162K packets, 239M bytes)
pkts bytes target prot opt in out source destination

Chain LOlo (1 references)
pkts bytes target prot opt in out source destination
1 40 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:60000
21 1092 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:111
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix 
`DROP_LOlo '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOoutside (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 84.206.45.50 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 92.249.173.3 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 195.228.187.50 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 85.216.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 80.85.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 88.209.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 212.40.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 81.131.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 85.66.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 85.67.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 78.92.139.0/24 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 80.98.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 81.182.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 195.56.172.0/24 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 213.151.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 81.183.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 89.134.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 89.133.0.0/16 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 92.52.0.0/16 0.0.0.0/0 tcp dpt:22
2 100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
25 1240 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
371 16759 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix 
`DROP_LOoutside '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain NOISE (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8
73 8411 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139
27 2565 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5678
98482 4340K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

A tproxy prerouting táblájának az elejére raktam már előbb -j LOG -ot.
Most ez van benne:
Chain PREROUTING (policy ACCEPT 325 packets, 37647 bytes)
pkts bytes target prot opt in out source destination
19 768 LOG tcp -- any any anywhere anywhere LOG level warning prefix 
`TPROXY '
0 0 TPROXY tcp -- eth0 any anywhere anywhere tcp dpt:www TPROXY redirect 
0.0.0.0:50080
0 0 TPROXY tcp -- eth0 any anywhere anywhere tcp dpt:ftp TPROXY redirect 
0.0.0.0:50021

Látszik hogy 325 packet érkezett és ehhez képest mennyi lett loggolva? :
Mar 3 13:09:31 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=84.3.175.156 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=8316 PROTO=TCP SPT=1262 
DPT=44378 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:09:31 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=84.3.175.156 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=8317 PROTO=TCP SPT=1262 
DPT=44378 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:12:03 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=195.228.133.129 
DST=kulso_ip LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP 
SPT=52567 DPT=28226 WINDOW=0 RES=0x00 RST URGP=0
Mar 3 13:13:29 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=79.126.200.67 
DST=kulso_ip LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=766 DF PROTO=TCP 
SPT=80 DPT=1024 WINDOW=8192 RES=0x00 ACK SYN URGP=0
Mar 3 13:18:37 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=94.128.101.130 
DST=kulso_ip LEN=64 TOS=0x00 PREC=0x00 TTL=27 ID=43923 DF PROTO=TCP 
SPT=2612 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0
Mar 3 13:18:40 ksze TPROXY IN=eth0 OUT= 
MAC=00:d0:b7:17:93:d3:00:18:ba:c8:26:46:08:00 SRC=94.128.101.130 
DST=kulso_ip LEN=64 TOS=0x00 PREC=0x00 TTL=27 ID=44448 DF PROTO=TCP 
SPT=2612 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0

Zorp hol figyel:
netstat -tapn:
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:50080 0.0.0.0:* LISTEN 3510/zorp
tcp 0 0 0.0.0.0:50021 0.0.0.0:* LISTEN 3510/zorp

Van a szerveren egy apache és vsftp. Mivel elég kis költségvetésű 
projekt így nem volt
lehetőség arra, hogy szétszedjem a tűzfal funkciókat a web és ftp-től.

Ha beírom a gép ip-jét egy böngészőbe akkor megjelenik a weblap, de nem 
a Zorp-on keresztül, hanem
csak simán az apache válaszol. (Zorp nem loggol semmit). Próbáltam úgy, 
hogy az 50080-as portot kintről
megnyitottam úgy már a Zorp-hoz került a kérés.

Próbáltam úgy is, hogy nem 0.0.0.0-án figyeltetem a zorp-ot hanem a 
külső ip-n, de úgy sem ment.
Még akkor sem ha a preroutingnál megadtam, hogy --on-ip kulso_ip

Üdv: Krisztián


További információk a(z) zorp-hu levelezőlistáról