Re: Bridge e iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: Bridge e iptables
From: Juan Antonio <pushakk@limbo.ari.es>
Date: Wed, 16 Mar 2011 16:44:05 +0100
Message-id: <[🔎] 4D80DAC5.5060808@limbo.ari.es>
In-reply-to: <[🔎] AANLkTin4-On=mBpxnU=e6zQTF9u+H-4t1+fPOftCVGte@mail.gmail.com>
References: <[🔎] AANLkTimGefL9R14Ook9R0dW=LPFX1FiYi1rhmDDAG2G0@mail.gmail.com> <[🔎] AANLkTimaZ-YsPxb_GahhRih6jibZj1D7whPkm_Rcv=8P@mail.gmail.com> <[🔎] AANLkTinvN4pW5NSPbfgAD0Bfn+bFoBf5j4BHpEu6bbpm@mail.gmail.com> <[🔎] 4D7770D4.5040804@limbo.ari.es> <[🔎] AANLkTin4-On=mBpxnU=e6zQTF9u+H-4t1+fPOftCVGte@mail.gmail.com>

Tal y como lo expones diría que lo que falla es el reply, tienes que
habilitar el icmp, si no quieres todo al menos el echo reply, type 8
creo, de vuelta desde la red conectada en eth0.

Usa tcpdump para confirmar que ves el reply en el cortafuegos, y que
realmente se esta enmascarando el tráfico.

Un saludo

El 16/03/11 16:30, Demián Pazos escribió:
> Juan:
> 
> Aclaro la situación, a ver si pueden ayudarme a resolver el acertijo.
> 
> 
> Tengo un bridge entre eth2 y eth1. La red del bridge es 10.0.0.0/24. La red
> de eth0, que actuaría de WAN, es 192.168.0.0/24 -es un ambiente de prueba-
> 
> El equipo de prueba está conectado al router través de la nic eth2. Con la
> policy ACCEPT en FORWARD y haciendo SNAT entre la red 10 y la 192, todo
> funciona según lo esperado. Si cambio la política a DROP en FORWARD, las
> conexiones no se resuelven, como es de esperarse también.
> 
> Ahora viene el inconveniente: con la policy DROP en FORWARD, habilito
> solamente lo que quiero dejar pasar, por ej. ICMP desde la red 10. Lo
> habilité de las siguiente manera:
> 
> iptables -A FORWARD -m physdev --physdev-in eth2 -p icmp -j ACCEPT
> 
> Utilicé la opción -m con physdev porque, según estuve leyendo, esta es la
> forma correcta de manejar las conexiones con un bridge actuando en el
> escenario.
> 
> En la tabla de iptables veo los paquetes, el contador avanza, pero no hay
> respuesta de ping. Solo habilité, en ../ipv4/ el bit en ip_forward. Espero
> que haya quedado claro ahora. Y gracias por responder.
> 
> 
> Un saludo a la comunidad,
> 
> 
> 
> 
> El 9 de marzo de 2011 09:21, Juan Antonio <pushakk@limbo.ari.es> escribió:
> 
>>  El 09/03/11 13:01, Demián Pazos escribió:
>>
>> David:
>>
>>
>> Gracias por responder. Creo que, entre otras pruebas, verifiqué esto que
>> tipeás vos. Esta es la solución propuesta en el apartado "Bridge" en
>> openvpn.net. Voy a testearlo en un entorno de prueba, y luego les escribo.
>>
>> Un saludo,
>>
>>
>> El 5 de marzo de 2011 17:26, david martinez <damarsan2@gmail.com>escribió:
>>
>>>
>>> En el default de init.d de openvpn tienes los siguiente:
>>>
>>>  echo "1" >> /proc/sys/net/ipv4/ip_forward
>>> iptables -v -A INPUT -i tap0 -j ACCEPT
>>> iptables -v -A INPUT -i br0 -j ACCEPT
>>> iptables -v -A FORWARD -i br0 -j ACCEPT
>>>
>>>  Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que
>>> incluyen 2 scripts que levantan y bajan el bridge.
>>>
>>>
>>>
>>> El 5 de marzo de 2011 21:09, Demián Pazos <demianpaz@gmail.com> escribió:
>>>
>>>
>>>  Listeros de Debian:
>>>>
>>>>
>>>> Estoy montando un bridge para utilizar con OpenVPN. El escenario es el
>>>> siguiente:
>>>>
>>>> eth0: WAN
>>>> eth1: LAN
>>>> tap0: OpenVPN
>>>> br0  : bridge entre eth1 y tap0
>>>>
>>>> La policy de la cadena FORWARD es DROP, y abro las conexiones según se
>>>> requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD
>>>> quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin
>>>> resultado. También probé la opción -m physdev --physdev-in eth1 para
>>>> establecer la NIC física, pero los paquetes siguen sin pasar por la cadena.
>>>> Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la
>>>> info iptables, veo los paquetes entrando, pero la policy DROP los filtra.
>>>> ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel
>>>> 2.6
>>>>
>>>> Muchas gracias a todos,
>>>>
>>>> --
>>>>            Demian
>>>>
>>>
>>>
>>
>>
>> --
>>            Demian
>>
>>
>> "En la info iptables, veo los paquetes entrando, pero la policy DROP los
>> filtra." ¿A que te refieres con esto exactamente? La regla que escribes para
>> permitir el tráfico ¿Crecen sus contadores "iptables -vnL FORWARD"? Añade
>> una regla sencilla por ejemplo para el icmp y comprueba si hay coincidencias
>> viendo si el contador crece o bien añadiendo una regla igual pero que salte
>> a LOG. Por ejemplo
>>
>> iptables -P FORWARD DROP
>> iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j ACCEPT
>>
>> Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y bytes
>>
>> o
>>
>> iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1 -j LOG
>> --log-prefix 'basura '
>>
>> y mira en el syslog si escribe algo.
>>
>>
>>
>>
>>
> 
> 


-- 
"Tanto en los deportes como en todo lo demás, soy un experto. Pero para
mantener viva mi inteligencia natural y fuera de serie, tengo que comer
mucho"

Reply to:

References:
- Bridge e iptables
  - From: Demián Pazos <demianpaz@gmail.com>
- Re: Bridge e iptables
  - From: david martinez <damarsan2@gmail.com>
- Re: Bridge e iptables
  - From: Demián Pazos <demianpaz@gmail.com>
- Re: Bridge e iptables
  - From: Juan Antonio <pushakk@limbo.ari.es>
- Re: Bridge e iptables
  - From: Demián Pazos <demianpaz@gmail.com>

Prev by Date: Re: Bridge e iptables
Next by Date: Re: Particiones en servidor
Previous by thread: Re: Bridge e iptables
Next by thread: OT: Internet Explorer 6 Death
Index(es):
- Date
- Thread