[Comm] IPTABLES more problem

[Comm] IPTABLES more problem

[Igor Solovyov]

Hi All!

Как говорится "чем дальше в лес, тем больше дров".
Исследование iptables, как замены ipchains продолжается
и пока ничего хорошего я не добился. :-((

В общем-то в основном все работает, но три неразрешимые (надеюсь
пока) проблемы остались.

1. Не работает "Transparent proxy". Сразу оговорюсь, на этой же
машине, без каких либо изменений, с этим работает ipchains.
"Неработа" заключается в следующем: обрезаются адреса в запросе.
Пример: в браузере набран адрес http://www.xxxx.ru/index.html,
в логах сквида запрос виден как GET /index.html и естественно
не проходит. Объяснения этому пока так и не удалось найти.
(еще раз напомню - с ipchains на этой же машине все работает).

2. Не работает REDIRECT. Во всяком случае, вот такая строка не работает:

iptables -t nat -A PREROUTING -p tcp --destination-port 490 \
         -j DNAT --to-destination 192.168.63.120:490

REDIRECT с машины 192.168.63.200:490 на машину 192.168.63.120:490
не происходит. Никакой ругани в логах при этом нет. Сразу скажу,
что во всех местах, где пакеты не пропускаются стоит -j LOG.
А по логам видно, что при этом редиректе пакеты нигде не
отфильтровываются, иначе я их увидел бы.
Они просто исчезают в никуда. :-(((
Проблему локализовать не удается.
Пока приходится редиректить средствами xinetd.

3. Безобразно работают машины из сетей, попадающих на этот рутер
через тунели. Если подобная машина из тунеля с целью возможности
работы с и-нетом проходит через -j SNAT --to-source ...., то с
и-нетом она работает нормально, а вот с локальными приложениями
практически никак. Особенно если в ее работе через сеть проходят
достаточно большие блоки данных. На маленьких ситуация несколько
лучше. Справедливости ради, скажу, что и с ipchains с тунельными
машинами есть проблемы, но ровно наоборот, т.е. с локальными 
приложениями проблем нет, а вот в и-нет через -j MASQ так же
практически не работает, но там ситуацию спасал transparent proxy,
а здесь - см. п.1. :-(

Система Master 2.0 + updates. Я в трансе. :-(

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] IPTABLES more problem

[Ilia Menchikh]

On Thu, 9 Jan 2003 11:12:42 +0500
Igor Solovyov <gosha@zkb.ru> wrote:

> Hi All!
> 
> Как говорится "чем дальше в лес, тем больше дров".
> Исследование iptables, как замены ipchains продолжается
> и пока ничего хорошего я не добился. :-((
> 
> В общем-то в основном все работает, но три неразрешимые (надеюсь
> пока) проблемы остались.
> 
> 1. Не работает "Transparent proxy". Сразу оговорюсь, на этой же
> машине, без каких либо изменений, с этим работает ipchains.
> "Неработа" заключается в следующем: обрезаются адреса в запросе.
> Пример: в браузере набран адрес http://www.xxxx.ru/index.html,
> в логах сквида запрос виден как GET /index.html и естественно
> не проходит. Объяснения этому пока так и не удалось найти.
> (еще раз напомню - с ipchains на этой же машине все работает).

Стоит transparent proxy на Master+updates. Через iptables все ходят
нормально. 
iptables -t nat -A PREROUTING -p tcp --destination-port 80 \
-j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp --destination-port 443 \
-j REDIRECT --to-ports 3128
И все жужжит.

Варианты: 
У виндовых машин остались левые адреса прокси-сервера.
Грабли с настройкой сквида.

2. А если так:
iptables -t nat -A PREROUTING -p tcp -d $IP --destination-port 490 \
-j DNAT --to-destination 192.168.63.120:490

> REDIRECT с машины 192.168.63.200:490 на машину 192.168.63.120:490
> не происходит. Никакой ругани в логах при этом нет. Сразу скажу,
> что во всех местах, где пакеты не пропускаются стоит -j LOG.
> А по логам видно, что при этом редиректе пакеты нигде не
> отфильтровываются, иначе я их увидел бы.
> Они просто исчезают в никуда. :-(((

А в INPUT явно разрешен коннект к 490 порту?

> 3. Безобразно работают машины из сетей, попадающих на этот рутер
> через тунели. 

Вот этого у меня нету (( 

-- 
Regards
Ilia Menchikh
JID ililina@jabber.vitamin-e.ru

Re: [Comm] IPTABLES more problem

[Igor Solovyov]

Hi!
On Thu, 9 Jan 2003 10:15:39 +0300
Ilia Menchikh <meniluha@mailru.com> wrote:

> Стоит transparent proxy на Master+updates. Через iptables все
> ходят нормально. 
> iptables -t nat -A PREROUTING -p tcp --destination-port 80 \
> -j REDIRECT --to-ports 3128
> iptables -t nat -A PREROUTING -p tcp --destination-port 443 \
> -j REDIRECT --to-ports 3128
> И все жужжит.

Вот мои строчки:
$IPT -t nat -A PREROUTING -p tcp --destination-port 80 \
-j REDIRECT --to-ports 8080
$IPT -t nat -A PREROUTING -p tcp --destination-port 443 \
-j REDIRECT --to-ports 8080

отличается только --to-ports 8080, но у меня сквид как раз на 8080 и слушает.
Тем не менее в запросе режется часть адреса. Уже /dev/head smoke пускает,
не могу понять в чем дело. :-(((

> Варианты: 
> У виндовых машин остались левые адреса прокси-сервера.

у них вообще нет никаких адресов прокси, поскольку либо просто
маскарадятся, либо на прокси попадают прозрачно (через ipchains). :-)
Более того, запускаю на этом же рутере links и ..... та же фигня,
а вот если в настройках links принудительно указать адрес:порт
сквида, то все работает, то же самое и на виндовых машинах.

> Грабли с настройкой сквида.

Не понятно тогда как он с ipchains уживается. :-)

> 2. А если так:
> iptables -t nat -A PREROUTING -p tcp -d $IP --destination-port
> 490 \-j DNAT --to-destination 192.168.63.120:490

Попробую, правда непонятно какой -d $IP указывать, на машине
принимающей запросы с восьми интерфейсов. :-))
Разве, что попробовать сделать такую строчку для каждого интерфейса.
Криво как-то, но завтра попробую.

> > REDIRECT с машины 192.168.63.200:490 на машину
> > 192.168.63.120:490 не происходит. Никакой ругани в логах при
> > этом нет. Сразу скажу, что во всех местах, где пакеты не
> > пропускаются стоит -j LOG. А по логам видно, что при этом
> > редиректе пакеты нигде не отфильтровываются, иначе я их
> > увидел бы. Они просто исчезают в никуда. :-(((
> 
> А в INPUT явно разрешен коннект к 490 порту?

Да:
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 490 -j ACCEPT

> > 3. Безобразно работают машины из сетей, попадающих на этот
> > рутер через тунели. 
> 
> Вот этого у меня нету (( 

Жаль. Вместе бы повеселились. :-) 

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] IPTABLES more problem

[Ilia Menchikh]

On Thu, 9 Jan 2003 12:57:52 +0500
Igor Solovyov <gosha@zkb.ru> wrote:

Хаюшки!

> отличается только --to-ports 8080, но у меня сквид как раз на 8080 и
> слушает. Тем не менее в запросе режется часть адреса. Уже /dev/head
> smoke пускает, не могу понять в чем дело. :-(((
>
> > Варианты: 
> > У виндовых машин остались левые адреса прокси-сервера.
> 
> у них вообще нет никаких адресов прокси, поскольку либо просто
> маскарадятся, либо на прокси попадают прозрачно (через ipchains). :-)
> Более того, запускаю на этом же рутере links и ..... та же фигня,
> а вот если в настройках links принудительно указать адрес:порт
> сквида, то все работает, то же самое и на виндовых машинах.

Даа. Это что-то совсем новое ((

Было что-то подобное. Похоже на грабли в винде. Какой-то из осликов
криво работал через транспарент. Но у меня он остался почти рудиментом.
За пару месяцев я на большей части машин вручную вбил адреса прокси.
Нареканий пока нет.

> 
> > Грабли с настройкой сквида.
> 
> Не понятно тогда как он с ipchains уживается. :-)
 
> > 2. А если так:
> > iptables -t nat -A PREROUTING -p tcp -d $IP --destination-port
> > 490 \-j DNAT --to-destination 192.168.63.120:490
> 
> Попробую, правда непонятно какой -d $IP указывать, на машине
> принимающей запросы с восьми интерфейсов. :-))
> Разве, что попробовать сделать такую строчку для каждого интерфейса.
> Криво как-то, но завтра попробую.
 
> > > REDIRECT с машины 192.168.63.200:490 на машину
> > > 192.168.63.120:490 не происходит. Никакой ругани в логах при
> > > этом нет. Сразу скажу, что во всех местах, где пакеты не
> > > пропускаются стоит -j LOG. А по логам видно, что при этом
> > > редиректе пакеты нигде не отфильтровываются, иначе я их
> > > увидел бы. Они просто исчезают в никуда. :-(((
> > 
> > А в INPUT явно разрешен коннект к 490 порту?
> 
> Да:
> $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 490 -j ACCEPT

А, эта, что tcpdump рассказывает?

> > > 3. Безобразно работают машины из сетей, попадающих на этот
> > > рутер через тунели. 
> > 
> > Вот этого у меня нету (( 
> 
> Жаль. Вместе бы повеселились. :-) 

Пока не надобилось.

-- 
Regards
Ilia Menchikh
JID ililina@jabber.vitamin-e.ru

Re: [Comm] IPTABLES more problem

[Igor Solovyov]

Hi!
On Thu, 9 Jan 2003 11:20:25 +0300
Ilia Menchikh <meniluha@mailru.com> wrote:

> > > > REDIRECT с машины 192.168.63.200:490 на машину
> > > > 192.168.63.120:490 не происходит. Никакой ругани в логах при
> > > > этом нет. Сразу скажу, что во всех местах, где пакеты не
> > > > пропускаются стоит -j LOG. А по логам видно, что при этом
> > > > редиректе пакеты нигде не отфильтровываются, иначе я их
> > > > увидел бы. Они просто исчезают в никуда. :-(((
> > > 
> > > А в INPUT явно разрешен коннект к 490 порту?
> > 
> > Да:
> > $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 490 -j ACCEPT
> 
> А, эта, что tcpdump рассказывает?

Мне непросто это осуществить, поскольку обращения на этот сервис 
происходят не часто. Т.е. придется достаточно долго и с неизвестным
результатом "наблюдать", подняв заведомо неработающий "редирект", а
это не допустимо. 
Похоже затею с iptables придется оставить.
Видимо на тривиальных конфигурациях он вполне работоспособен, а вот чуть
посложней (тунели, сложная маршрутизация - типа несколько default gateway)
и... ничего путного не выходит. Самое обидное, что происходят вещи, которые
отловить в логах не удается. :-)))
Хотя не исключено, что это проблемы конкретного ядра. Я знаю у нас одну сетку,
в которой работает и transparent proxy и redirect на базе iptables.
Но там не ALTLinux. :-(

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] IPTABLES more problem

[Владимир]

Привет всем.

Igor Solovyov пишет:

>Как говорится "чем дальше в лес, тем больше дров".
>Исследование iptables, как замены ipchains продолжается
>и пока ничего хорошего я не добился. :-((
>
>  
>

>2. Не работает REDIRECT. Во всяком случае, вот такая строка не работает:
>
>iptables -t nat -A PREROUTING -p tcp --destination-port 490 \
>         -j DNAT --to-destination 192.168.63.120:490
>
>REDIRECT с машины 192.168.63.200:490 на машину 192.168.63.120:490
>не происходит. Никакой ругани в логах при этом нет. Сразу скажу,
>что во всех местах, где пакеты не пропускаются стоит -j LOG.
>А по логам видно, что при этом редиректе пакеты нигде не
>отфильтровываются, иначе я их увидел бы.
>Они просто исчезают в никуда. :-(((
>Проблему локализовать не удается.
>Пока приходится редиректить средствами xinetd.
>  
>
Читайте документацию внимательней. REDIRECT это не DNAT!
В данном случае, если необходимо через посредника переадресовать
пакеты машине той же сети необходимы два взаимосвязанных правила, например.

iptables -t nat -A PREROUTING -p tcp -s 192.168.63.200 --dport 490 \
         -j DNAT --to-destination 192.168.63.120

iptables -t nat -A POSTROUTING -p tcp -d 192.168.63.120 --dport 490 \
         -j SNAT --to-source <ВНУТРЕННЙ IP АДРЕС ШЛЮЗА>

У Вас машина-получатель паектов (192.168.63.120) ответы шлет напрямую 
отправителю
(192.168.63.200), так как машины находятся в одной локальной сети. 
Отправитель же ждет
ответа от ШЛЮЗА и выбрасывает ответы как "незапрошенные".
На ШЛЮЗ ответы не посылаются, естественно, в LOG они не регистрируются.

-- 
Best regards
Vladimir

Re: [Comm] IPTABLES more problem

[Igor Solovyov]

Hi!
On Fri, 10 Jan 2003 10:32:59 +0300
Владимир <fmfm@symmetron.msk.ru> wrote:

> Читайте документацию внимательней. REDIRECT это не DNAT!

Разве я утверждал обратное? :-)
Навреное я неудачно сформулировал вопрос, использовав термин REDIRECT
(не в смысле действия iptables), но тем не менее я привел строку, из
которой несложно понять какими средствами я добиваюсь REDIRECT-а:

iptables -t nat -A PREROUTING -p tcp --destination-port 490 \
         -j DNAT --to-destination 192.168.63.120:490

> В данном случае, если необходимо через посредника переадресовать
> пакеты машине той же сети необходимы два взаимосвязанных правила, например.
> 
> iptables -t nat -A PREROUTING -p tcp -s 192.168.63.200 --dport 490 \
>          -j DNAT --to-destination 192.168.63.120
> 
> iptables -t nat -A POSTROUTING -p tcp -d 192.168.63.120 --dport 490 \
>          -j SNAT --to-source <ВНУТРЕННЙ IP АДРЕС ШЛЮЗА>
> 
> У Вас машина-получатель паектов (192.168.63.120) ответы шлет напрямую 
> отправителю

Вы решили, что получателем является именно 192.168.63.200? На самом деле
у меня 8 интерфейсов и 7 из них (кроме как раз 192.168.63.200) могут
быть получателем, а вот собственно редирект будет идти через интерфейс
192.168.63.200 на машину 120 этой сетки. Я это имел в виду. Извините,
что неудачно сформулировал вопрос. :-((

> (192.168.63.200), так как машины находятся в одной локальной сети. 
> Отправитель же ждет
> ответа от ШЛЮЗА и выбрасывает ответы как "незапрошенные".
> На ШЛЮЗ ответы не посылаются, естественно, в LOG они не регистрируются.

На самом деле мой редирект работает. Он прекрасно работает уже целый день.
Проблема похоже была с самой машиной. Как ни странно, перегрузился
и все заработало. И прозрачный прокси и редирект и все остальное. 
Вот такие пироги. :-)))

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] IPTABLES more problem

[rider]

On Thu, Jan 09, 2003 at 08:45:02PM +0500, Igor Solovyov wrote:
> Hi!
> On Thu, 9 Jan 2003 11:20:25 +0300
> Ilia Menchikh <meniluha@mailru.com> wrote:
> 
> > > > > REDIRECT с машины 192.168.63.200:490 на машину
> > > > > 192.168.63.120:490 не происходит. Никакой ругани в логах при
> > > > > этом нет. Сразу скажу, что во всех местах, где пакеты не
> > > > > пропускаются стоит -j LOG. А по логам видно, что при этом
> > > > > редиректе пакеты нигде не отфильтровываются, иначе я их
> > > > > увидел бы. Они просто исчезают в никуда. :-(((
> > > > 
> > > > А в INPUT явно разрешен коннект к 490 порту?
> > > 
> > > Да:
> > > $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 490 -j ACCEPT
> > 
> > А, эта, что tcpdump рассказывает?
> 
> Мне непросто это осуществить, поскольку обращения на этот сервис 
> происходят не часто. Т.е. придется достаточно долго и с неизвестным
> результатом "наблюдать", подняв заведомо неработающий "редирект", а
> это не допустимо. 
> Похоже затею с iptables придется оставить.
> Видимо на тривиальных конфигурациях он вполне работоспособен, а вот чуть
> посложней (тунели, сложная маршрутизация - типа несколько default gateway)
> и... ничего путного не выходит. Самое обидное, что происходят вещи, которые
> отловить в логах не удается. :-)))
> Хотя не исключено, что это проблемы конкретного ядра. Я знаю у нас одну сетку,
> в которой работает и transparent proxy и redirect на базе iptables.
> Но там не ALTLinux. :-(
> 

А какая версия ядра проверялась? 

Попробуйте последнее, которое в Sisyphus (2.4.20-alt4), оно у нас живет с
подобными настройками вполне нормально.

Rgds,
Rider

Re: [Comm] IPTABLES more problem

[Igor Solovyov]

Hi!
On Fri, 14 Feb 2003 14:00:47 +0300
rider@altlinux.com wrote:

> > .......конкретного ядра. Я знаю у нас одну сетку, в которой
> > работает и transparent proxy и redirect на базе iptables. Но
> > там не ALTLinux. :-(
> > 
> 
> А какая версия ядра проверялась? 
> 
> Попробуйте последнее, которое в Sisyphus (2.4.20-alt4), оно у
> нас живет с подобными настройками вполне нормально.

Wow! Припозднился немного советик. :-))))
Там все решилось перезагрузкой банальной почему-то. :-(
Я тут в больницу угодил, почти месяц компьютер не видел,
сегодня втихаря от жены включил (мне пока нельзя),
быстренько-быстренько вытянул много тысяч писем и проглядываю их,
а тут гляжу - ответ на мое давнее письмо. 
Вот не удержался. :-)))))

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia