[Sysadmins] Помогите с iptables

[Sysadmins] Помогите с iptables

[Alexei V. Mezin]

На домашней машине два внешних интерфейса:
mm -- домовая сеть (большая локалка), статический адрес
akado -- к кабельному модему, Ethernet, получает параметры по DHCP

и один "внутренний":
lan -- сетевая карта, к которой подключен второй комп (машина для 
тестирования Desktop 4).

Заданы статические маршруты так, что в локалку основная машины ходит 
через mm, а по умолчанию (т.е. в инет) через akado, на второй компьютер 
через lan.

Хочется инет+локалка на втором компе. Запускаю вот такой скрипт:

WAN1_IFACE="akado"
WAN2_IFACE="mm"
LAN_IFACE="lan"
LAN_IP="172.1.1.0/24"

IPTABLES="/sbin/iptables"

echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN1_IFACE -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN2_IFACE -j MASQUERADE

После этого появляется нормальный доступ в локалку, т.е. на WAN2_IFACE 
маскарадинг срабатывает. А вот на WAN1_IFACE нет. Причем как-то хитро не 
срабатывает. Например, если набрать в бравзере www.ru, то видно, что 
бравзер перенаправляется на http://www.ru/eng/index.html, но далее 
ничего не загружается. При этом пинги ходят вполне успешно.

Если пытаться запустить rc.firewall из набора iptables-tutorial, то 
поведение аналогично, и при этом в логи высыпается такое:

Jul  7 22:17:14 threebears kernel: New not syn:IN= OUT=akado 
SRC=10.2.13.157 DST=64.12.25.32 LEN=70 TOS=0x00 PREC=0x00 TTL=64 
ID=50520 DF PROTO=TCP SPT=57221 DPT=5190 WINDOW=64542 RES=0x00 ACK PSH 
URGP=0
Jul  7 22:18:44 threebears kernel: New not syn:IN= OUT=akado 
SRC=10.2.13.157 DST=64.12.25.32 LEN=70 TOS=0x00 PREC=0x00 TTL=64 
ID=50521 DF PROTO=TCP SPT=57221 DPT=5190 WINDOW=64542 RES=0x00 ACK PSH 
URGP=0


Получается, что два внешних интерфейса чем-то отличаются. Чем?

Re: [Sysadmins] Помогите с iptables

[Alexei V. Mezin]

Alexei V. Mezin пишет:
> Хочется инет+локалка на втором компе. Запускаю вот такой скрипт:

Или просто приведите пример самого простого NAT с одного интерфейса на 
другой в варианте "/etc/net/ifaces/*/fw", а то с наскоку не врубаюсь, 
как это сделать :(

Re: [Sysadmins] Помогите с iptables

[Eugene Ostapets]

2007/7/8, Alexei V. Mezin <alexei_vm micmedia.ru>:
> Alexei V. Mezin пишет:
> > Хочется инет+локалка на втором компе. Запускаю вот такой скрипт:
>
> Или просто приведите пример самого простого NAT с одного интерфейса на
> другой в варианте "/etc/net/ifaces/*/fw", а то с наскоку не врубаюсь,
> как это сделать :(
cat /etc/net/ifaces/intel/fw/iptables/nat/POSTROUTING
snat 192.168.2.84 if out-iface $NAME

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Sysadmins] Помогите с iptables

[Alexei V. Mezin]

Продолжая тему:

если с внутренней машины запустить, например, ncftp ftp.altlinux.ru, то 
получается соединиться с сервером, даже сделать ls, получить в ответ 
"pub/         pvt/         robots.txt" и даже выполнить cd pub. И вот 
после этого соединение зависает.

Это у нас в iptables что-то не так срабатывает в области MASQUERADE, или 
роутеры Akado противостоят НАТу? Попробовал
iptables -t mangle -A PREROUTING -i akado -j TTL --ttl-set 64
не помогло.

Re: [Sysadmins] Помогите с iptables

[Serge]

> Это у нас в iptables что-то не так срабатывает в области MASQUERADE
а если воспользоваться SNAT вместо MASQUERADE?

Re: [Sysadmins] Помогите с iptables

[Aleksey Avdeev]

Alexei V. Mezin пишет:
> Продолжая тему:
> 
> если с внутренней машины запустить, например, ncftp ftp.altlinux.ru, то 
> получается соединиться с сервером, даже сделать ls, получить в ответ 
> "pub/         pvt/         robots.txt" и даже выполнить cd pub. И вот 
> после этого соединение зависает.

1. Зависает, при передачи данных?

2. Какой режим ftp используется: активные или пассивный?

3. Загружены ли на шлюзе модули ip_conntrack_ftp и ip_nat_ftp.

> 
> Это у нас в iptables что-то не так срабатывает в области MASQUERADE, или 
> роутеры Akado противостоят НАТу? Попробовал
> iptables -t mangle -A PREROUTING -i akado -j TTL --ttl-set 64
> не помогло.

PS: Ftp не самый простой протокол, для прохождения через NAT...

-- 

С уважением. Алексей.

Re: [Sysadmins] Помогите с iptables

[Alexei V. Mezin]

Aleksey Avdeev пишет:
> Alexei V. Mezin пишет:
>> Продолжая тему:
>>
>> если с внутренней машины запустить, например, ncftp ftp.altlinux.ru, то 
>> получается соединиться с сервером, даже сделать ls, получить в ответ 
>> "pub/         pvt/         robots.txt" и даже выполнить cd pub. И вот 
>> после этого соединение зависает.
> 
> 1. Зависает, при передачи данных?
> 
Неизвестно, видимо при получении. Что-то успевает передаться (логин, 
команды cd и ls), что-то даже можно получить, например, удачно 
скачивается файл robots.txt. А вот при попытке получить более объемные 
данные (ls в каталоге pub) все подвисает.

> 2. Какой режим ftp используется: активные или пассивный?
Без разницы. Все накрывается при передаче какого-то объема трафика. Пример:


[alexei@smallbear ~]$ ncftp
NcFTP 3.2.0 (Aug 05, 2006) by Mike Gleason (http://www.NcFTP.com/contact/).
ncftp> passive
passive                        on
ncftp> passive
passive                        off
ncftp> op ftp.mipt.ru
Connecting to 193.125.143.140... 

Welcome to the file archive at Moscow Institute of Physics and Technology.
http://phystech.edu/
Please contact noc@mipt.ru in case of issues or questions.

Logging in... 

Login successful.
Logged in to ftp.mipt.ru. 

ncftp / > ls
ada/     debian@  iso/     mirror/  stuff/
ncftp / > cd iso
Directory successfully changed.
ncftp /iso > ls


Все, после ls висит.

Примерно та же история links www.ru, когда удается установить соединение 
с сервером, обменяться всякими возможностями бравзера, получить от 
сервера перенаправление на страницу, и замереть наглухо.


> 3. Загружены ли на шлюзе модули ip_conntrack_ftp и ip_nat_ftp.
Да, конечно.

Re: [Sysadmins] Помогите с iptables

[Alexei V. Mezin]

Alexei V. Mezin пишет:

> 
> Хочется инет+локалка на втором компе. Запускаю вот такой скрипт:
> 
> WAN1_IFACE="akado"
> WAN2_IFACE="mm"
> LAN_IFACE="lan"
> LAN_IP="172.1.1.0/24"
> 
> IPTABLES="/sbin/iptables"
> 
> echo "1" > /proc/sys/net/ipv4/ip_forward
> 
> $IPTABLES -P FORWARD ACCEPT
> $IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN1_IFACE -j MASQUERADE
> $IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN2_IFACE -j MASQUERADE
> 

Ну вот, сам себе отвечаю: загрузив livecd с redWall firewall и запустив 
там эти команды, получил __работающий__ НАТ. Ядро там 2.6.17.

А на наших ядрах wks/std ничего не работает. Это у нас кривые iptables 
получаются? Или что-то им мешает работать? Как определить, что именно 
мешает?

Re: [Sysadmins] Помогите с iptables

[Sergey]

On Monday 09 July 2007, Alexei V. Mezin wrote:

> > $IPTABLES -P FORWARD ACCEPT
> > $IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN1_IFACE -j MASQUERADE
> > $IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN2_IFACE -j MASQUERADE

> А на наших ядрах wks/std ничего не работает. Это у нас кривые iptables 
> получаются? 

Я не вижу причины для того, чтобы это не работало.

> Или что-то им мешает работать? Как определить, что именно мешает?

Можно посмотреть iptables -nL ? А, вообще, вопрос в лоб: icmp не перекрыт ?

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] Помогите с iptables

[Alexei V. Mezin]

Sergey пишет:
> On Monday 09 July 2007, Alexei V. Mezin wrote:
> 
>>> $IPTABLES -P FORWARD ACCEPT
>>> $IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN1_IFACE -j MASQUERADE
>>> $IPTABLES -t nat -A POSTROUTING -s $LAN_IP -o $WAN2_IFACE -j MASQUERADE
> 
>> А на наших ядрах wks/std ничего не работает. Это у нас кривые iptables 
>> получаются? 
> 
> Я не вижу причины для того, чтобы это не работало.
> 
>> Или что-то им мешает работать? Как определить, что именно мешает?
> 
> Можно посмотреть iptables -nL ? А, вообще, вопрос в лоб: icmp не перекрыт ?
> 
Ничего не перекрыто. Да и подозрительно все. Если бы совсем НАТ не 
работал, то это одно. А он работает на один интерфейс, и не работает на 
другой. Причем не просто так не работает, а успешно пропускает ping и 
небольшое количество пакетов tcp, а потом затыкается.

[root@threebears ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Re: [Sysadmins] Помогите с iptables

[Artem Zolochevskiy]

Alexei V. Mezin wrote:

 
> Получается, что два внешних интерфейса чем-то отличаются. Чем?

может поможет?
man iptables на предмет TCPMSS

-- 
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org

Re: [Sysadmins] Помогите с iptables

[Alexei V. Mezin]

Artem Zolochevskiy пишет:
> Alexei V. Mezin wrote:
> 
>  
>> Получается, что два внешних интерфейса чем-то отличаются. Чем?
> 
> может поможет?
> man iptables на предмет TCPMSS
> 

Бинго! ОНО!!! Заработало! Спасибо большое! Теперь тестовая песочница 
стала более удобной.

Правда теперь вопросы:
- это у меня провайдер (Акадо) такой "придирчивый"? (criminally 
braindead ISP)
- почему с другого линукса без этой опции заработало?

Re: [Sysadmins] Помогите с iptables

[Artem Zolochevskiy]

Alexei V. Mezin wrote:

> Artem Zolochevskiy пишет:
>> Alexei V. Mezin wrote:
>> 
>>  
>>> Получается, что два внешних интерфейса чем-то отличаются. Чем?
>> 
>> может поможет?
>> man iptables на предмет TCPMSS
>> 
> 
> Бинго! ОНО!!! Заработало! Спасибо большое! Теперь тестовая песочница
> стала более удобной.

Рад помочь землячку ;-)
 
> Правда теперь вопросы:
> - это у меня провайдер (Акадо) такой "придирчивый"? (criminally
> braindead ISP)
> - почему с другого линукса без этой опции заработало?

ты знаешь, ВСЕ провайдеры, которые мне попадались были именно такими.

а если на "другом" Linux посмотреть
iptables -L -t mangle -n

к примеру точно знаю что на debian сия TCPMSS без всяческого дополнительного
вмешательства сама поднимается при поднятии pppoe. может и нам такое стоит
сделать по умолчанию, чтоб вон так как ты не маяться.

отпишешься c FR в bugzilla?

-- 
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org

Re: [Sysadmins] Помогите с iptables

[ABATAPA]

09 июля 2007 г. Alexei V. Mezin написал:
> Бинго! ОНО!!! Заработало! Спасибо большое! Теперь тестовая песочница
> стала более удобной.
Вообще, это в FAQ есть почти любом.
И уж точно - в WiKi.

Проблема "MTU discovery" в Windows известна давно...
Рекомендуемое решение (например, для PPtP):
iptables  -A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j 
TCPMSS --set-mss 1350
Для Вашего случая может потребоваться указать другие интерфейсы.

Если на одной машине и PPtP, и, скажем, PPPoE, то делать это лучше только для 
первых в /etc/ppp/ip-up.d - скриптах, например, так:
# cat /etc/ppp/ip-up.d/pptpd.tcpmssfix.up

#!/bin/bash

MSS=1350
#echo "DEBUG: $0 $@" >> /tmp/pptpd.tcpmssfix.log
myname=`basename $0`
if [ "$myname" = "pptpd.tcpmssfix.up" ];
then
        # PPPd передан параметр "ipparam string", однако, у меня
        # дополнительным  параметром передается IP
        if [ "$#" -eq 6 ]; then
                echo "TCPMSS fix for $1..." >> /tmp/pptpd.tcpmssfix.log
                iptables -A FORWARD -i "$1" -p tcp -m tcp --tcp-flags SYN,RST 
SYN -j TCPMSS --set-mss $MSS
        fi
fi
if [ "$myname" = "pptpd.tcpmssfix.down" ];
then
        # PPPd передан параметр "ipparam string", однако, у меня
        # дополнительным  параметром передается IP
        if [ "$#" -eq 6 ]; then
	echo "TCPMSS off for $1..." >> /tmp/pptpd.tcpmssfix.log
        	iptables -D FORWARD -i "$1" -p tcp -m tcp --tcp-flags SYN,RST SYN -j 
TCPMSS --set-mss $MSS
        fi
fi

После создания скрипта:
# 
ln -s /etc/ppp/ip-up.d/pptpd.tcpmssfix.up /etc/ppp/ip-down.d/pptpd.tcpmssfix.down

-- 
ABATAPA

Re: [Sysadmins] akado

[Sergey S. Skulachenko]

On Tue, 10 Jul 2007 10:44:06 +0400
ABATAPA wrote:

> Вообще, это в FAQ есть почти любом.

Вот такой FAQ
http://forum.akado.com/lofiversion/index.php/t8254.html

> тут DHCP =) т.е. винда сама настроиться.... ты тока сетевуху не
> меняй

мне не нужен.

Может ли кто-нибудь внятно объяснить, как подключить к akado
сначала одну Линуксную машину? Попробуйте на их сайте найти
раздел "рекомендованные настройки". Такой, как на Стриме. С
учётом того, что в описании модема есть подробнейшая инструкция.
Есть куча публикаций, вопрос _открыто_ обсуждается. "Русские
прошивки" выпускаются. В akado всё иначе: "Дайте Винду с DHCP и
идите на ..." Сколько же обезьян Винда породила! Это ужас.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] akado

[Alexei V. Mezin]

Sergey S. Skulachenko пишет:
> 
> Может ли кто-нибудь внятно объяснить, как подключить к akado
> сначала одну Линуксную машину? 

Кабельный модем, от него ethernet в сетевую карту на компе. Модем САМ, 
согласно своей внутренней прошивке, договаривается с провайдером о 
соединении, а на комп по DHCP выдает все нужные параметры (адрес, маску, 
ДНС и т.п.). На многих модемах можно поглядеть его внутренние настройки 
через веб-морду (адрес интерфейса в руководстве модема). Для некоторых 
модемов че-нить даже поменять можно.

Линукс по DHCP успешно получает все настройки, и все работает "из коробки".

Если модем подключен по USB, то могут быть проблемы настройки 
USB-модема, но это уже другой вопрос.

-- 
Alexei V. Mezin

NT-MDT Co.
Phone: 095-913-5736
Fax: 095-913-573
Email: mezin@ntmdt.ru
URL: http://www.ntmdt.com