[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

El 06/09/12 09:50, Juan Antonio escribió:
> El 06/09/12 09:35, Francisco J. Bejarano escribió:
>> El 04/09/12 23:19, Juan Antonio escribió:
>>> On 05/09/12 16:13, Francisco J. Bejarano wrote:
>>>> Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
>>>> MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
>>>> DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
>>>> SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
>>>> Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
>>>> MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
>>>> DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
>>>> SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
>>>> Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
>>>> MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
>>>> DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
>>>> SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
>>>> Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
>>>> MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
>>>> DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
>>>> SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2
>>> mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que
>>> tiene configuradas la pasarela? fíjate que no se especifica ningún
>>> interfaz en  OUT = y de hecho ese tráfico no tiene que llegar a
>>> ninguna tabla porque es local ¿tienes tráfico en el log marcado que no
>>> sea para el propio router? ¿por dónde sale el tráfico que no sale por
>>> donde debería?
>>>
>>> Un saludo.
>> Hola, el trafico marcado lo logeo en mangle, prerouting despues de
>> marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado
>> la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que
>> corresponda de las adsl. No es para el propio router.
>>
>> El trafico, en la tabla main tiene un default route a TB2 (debido a
>> ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no
>> marcado.
>>
>>
>>
>
> ¿pero por qué se ve en DST una ip del mismo rango de red? Si es tráfico
> forwarded debería verse el dst original y la mac del interfaz del router.
Te pongo otro trozo de log de una ip de la red interna 2 que va hacia
afuera a una ip de internet (forward). Como ves tampoco tiene interfaz
out. Asi descarto que fuera mi direccion al firewall ya que estoy
conectado por ssh y mi trafico si iria al propio firewall.

Sep  5 17:13:51 firewall kernel: [1890254.612411] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121
DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=312 DF PROTO=TCP
SPT=43691 DPT=22 WINDOW=2608 RES=0x00 ACK URGP=0 MARK=0x2
Sep  5 17:13:51 firewall kernel: [1890254.649763] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121
DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=313 DF PROTO=TCP
SPT=43691 DPT=22 WINDOW=2597 RES=0x00 ACK URGP=0 MARK=0x2



>
> Si el main default es el mismo que el default de TB2 ¿para que añades
> reglas explicitas para usar esa tabla? ¿hay otras rutas en TB2
> diferentes a main? Me parece una configuración muy compleja que
> seguramente podrías reducir a 3 o 4 líneas de iptables y dos rules de
> iproute, asi podrías depurar mucho mejor.

Tengo 5 redes y hay que enviar el trafico dependiendo del origen de la
red y dentro del origen de la red dependiendo del puerto del destino. Si
es algo complejo pero necesario debido a ciertas validaciones de
seguridad de ips en servidores de destino que dependen de donde salga el
trafico. Las 2 redes que pongo son de 2 empresas diferentes que
comparten la misma salida TB3 (adsls balanceados con ancho de banda
elevado) pero que para ciertos traficos, cada empresa ha de salir por su
propio adsl con ip fija y solo cuando usa determinados puertos, si no
debería usar la TB3, peero, por defecto global se usa una de las TB con
ip fija... Yo no pongo las reglas pero he de ceñirme a ellas y esto
estaba funcionando correctamente en debian 4 y no creo que haya cambiado
mucho iptables a nivel funcionamiento general, o eso espero. De hecho
como esta echo debería funcionar a no ser que algo del marcado y
prioridades este haciendolo yo mal.

> Un saludo.
>
>


-- 
-----------------------------------------------------------------
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejarano@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-----------------------------------------------------------------
Reply to: