Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
Saludos Al final, despues de mucho pelearlo he conseguido actualizar el sistema desde cero, formatearlo y reconfigurarlo. Ahora tengo el nucleo 3.2 y las opciones de ip route get que permitian la opcion mark. El problema es que sigo igual. No envia los paquetes por donde debe, sin embargo, cuando uso ip route get si que parece que coge las rutas que debe coger. En las opciones de red solo tengo activado ip_forward. Sabeis si hay que configurar alguna opcion mas para que funcione el marcado y envio de forma correcta? Tengo iptables --version iptables v1.4.12 En muchos lugares he visto que hay que tener instalado el modulo ipt_mark pero en mi caso no esta instalado aunque leí en otros lugares que era antiguo y que no era necesario (no tengo claro si se necesita o no). Os pongo la lista de módulos por si falta alguno ipt_MASQUERADE 12759 2 ipt_REJECT 12576 3 xt_multiport 12597 40 xt_state 12578 43 xt_tcpudp 12603 43 xt_mark12563 8 iptable_nat13229 1 nf_nat 25891 2 ipt_MASQUERADE,iptable_nat nf_conntrack_ipv4 19716 46 iptable_nat,nf_nat iptable_filter 12810 1 iptable_mangle 12734 1 ip_tables 27473 3 iptable_nat,iptable_filter,iptable_mangle x_tables 29846 10 ipt_MASQUERADE,ipt_REJECT,xt_multiport,xt_state,xt_tcpudp,xt_mark,iptable_nat,iptable_filter,iptable_mangle,ip_tables nf_conntrack 81926 6 ipt_MASQUERADE,xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ftp Saludos - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - El 07/09/12 08:45, Francisco J. Bejarano escribió: El 06/09/12 18:26, Juan Antonio escribió: El 06/09/12 17:39, Francisco J. Bejarano escribió: Trazo los puertos y se salta la regla 30012, en fin, no entiendo como funciona esto. Se supone que los numeros de prioridad son para algo... alguna sugerencia? a mi ya me duele la cabeza... algunas pruebas que he hecho. [root@blackpearl ~]# ip ru ls 0:from all lookup local 100:from 192.168.12.35 fwmark 0x1 lookup t1 101:from 192.168.12.35 lookup t2 32766:from all lookup main 32767:from all lookup default [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes) pkts bytes target prot opt in out source destination 0 0 MARK tcp -- * * 192.168.12.35 0.0.0.0/0tcp dpt:25 MARK set 0x1 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 cache src-direct,redirect iif eth0 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1 src 192.168.12.91 mark 1 cache src-direct iif eth0 todo correcto hasta aqui. cambiamos la prioridad [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 mark 1 cache src-direct,redirect iif eth0 y hasta aqui también. [root@blackpearl ~]# uname -r 3.4.9-1-ARCH Uff, vamos que podría ser la version del nucleo y la implementacion de iproute2 junto con el... uname -r 2.6.32-5-686 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/505970d0.7060...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 19/09/12 09:14, Francisco J. Bejarano escribió: Saludos Al final, despues de mucho pelearlo he conseguido actualizar el sistema desde cero, formatearlo y reconfigurarlo. Ahora tengo el nucleo 3.2 y las opciones de ip route get que permitian la opcion mark. El problema es que sigo igual. No envia los paquetes por donde debe, sin embargo, cuando uso ip route get si que parece que coge las rutas que debe coger. En las opciones de red solo tengo activado ip_forward. Sabeis si hay que configurar alguna opcion mas para que funcione el marcado y envio de forma correcta? Tengo iptables --version iptables v1.4.12 En muchos lugares he visto que hay que tener instalado el modulo ipt_mark pero en mi caso no esta instalado aunque leí en otros lugares que era antiguo y que no era necesario (no tengo claro si se necesita o no). Os pongo la lista de módulos por si falta alguno ipt_MASQUERADE 12759 2 ipt_REJECT 12576 3 xt_multiport 12597 40 xt_state 12578 43 xt_tcpudp 12603 43 xt_mark12563 8 iptable_nat13229 1 nf_nat 25891 2 ipt_MASQUERADE,iptable_nat nf_conntrack_ipv4 19716 46 iptable_nat,nf_nat iptable_filter 12810 1 iptable_mangle 12734 1 ip_tables 27473 3 iptable_nat,iptable_filter,iptable_mangle x_tables 29846 10 ipt_MASQUERADE,ipt_REJECT,xt_multiport,xt_state,xt_tcpudp,xt_mark,iptable_nat,iptable_filter,iptable_mangle,ip_tables nf_conntrack 81926 6 ipt_MASQUERADE,xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ftp Saludos - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - El 07/09/12 08:45, Francisco J. Bejarano escribió: El 06/09/12 18:26, Juan Antonio escribió: El 06/09/12 17:39, Francisco J. Bejarano escribió: Trazo los puertos y se salta la regla 30012, en fin, no entiendo como funciona esto. Se supone que los numeros de prioridad son para algo... alguna sugerencia? a mi ya me duele la cabeza... algunas pruebas que he hecho. [root@blackpearl ~]# ip ru ls 0:from all lookup local 100:from 192.168.12.35 fwmark 0x1 lookup t1 101:from 192.168.12.35 lookup t2 32766:from all lookup main 32767:from all lookup default [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes) pkts bytes target prot opt in out source destination 0 0 MARK tcp -- * * 192.168.12.35 0.0.0.0/0tcp dpt:25 MARK set 0x1 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 cache src-direct,redirect iif eth0 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1 src 192.168.12.91 mark 1 cache src-direct iif eth0 todo correcto hasta aqui. cambiamos la prioridad [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 mark 1 cache src-direct,redirect iif eth0 y hasta aqui también. [root@blackpearl ~]# uname -r 3.4.9-1-ARCH Uff, vamos que podría ser la version del nucleo y la implementacion de iproute2 junto con el... uname -r 2.6.32-5-686 Si te faltase un módulo iptables daría un error al escribir la regla que hace uso de ese módulo. ¿probaste a dejarlo todo limpio y hacer una prueba sencilla con 2 rules y una marca? si es asi ¿podrías pegar como lo hiciste y los resultados? Un saludo. -- Tanto en los deportes como en todo lo demás, soy un experto. Pero para mantener viva mi inteligencia natural y fuera de serie, tengo que comer mucho -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/505971f2.2080...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 18:26, Juan Antonio escribió: El 06/09/12 17:39, Francisco J. Bejarano escribió: Trazo los puertos y se salta la regla 30012, en fin, no entiendo como funciona esto. Se supone que los numeros de prioridad son para algo... alguna sugerencia? a mi ya me duele la cabeza... algunas pruebas que he hecho. [root@blackpearl ~]# ip ru ls 0:from all lookup local 100:from 192.168.12.35 fwmark 0x1 lookup t1 101:from 192.168.12.35 lookup t2 32766:from all lookup main 32767:from all lookup default [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes) pkts bytes target prot opt in out source destination 0 0 MARK tcp -- * * 192.168.12.35 0.0.0.0/0tcp dpt:25 MARK set 0x1 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 cache src-direct,redirect iif eth0 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1 src 192.168.12.91 mark 1 cache src-direct iif eth0 todo correcto hasta aqui. cambiamos la prioridad [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 mark 1 cache src-direct,redirect iif eth0 y hasta aqui también. [root@blackpearl ~]# uname -r 3.4.9-1-ARCH Uff, vamos que podría ser la version del nucleo y la implementacion de iproute2 junto con el... uname -r 2.6.32-5-686 -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50499822.5010...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 07/09/12 08:45, Francisco J. Bejarano escribió: El 06/09/12 18:26, Juan Antonio escribió: El 06/09/12 17:39, Francisco J. Bejarano escribió: Trazo los puertos y se salta la regla 30012, en fin, no entiendo como funciona esto. Se supone que los numeros de prioridad son para algo... alguna sugerencia? a mi ya me duele la cabeza... algunas pruebas que he hecho. [root@blackpearl ~]# ip ru ls 0:from all lookup local 100:from 192.168.12.35 fwmark 0x1 lookup t1 101:from 192.168.12.35 lookup t2 32766:from all lookup main 32767:from all lookup default [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes) pkts bytes target prot opt in out source destination 0 0 MARK tcp -- * * 192.168.12.35 0.0.0.0/0tcp dpt:25 MARK set 0x1 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 cache src-direct,redirect iif eth0 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1 src 192.168.12.91 mark 1 cache src-direct iif eth0 todo correcto hasta aqui. cambiamos la prioridad [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 mark 1 cache src-direct,redirect iif eth0 y hasta aqui también. [root@blackpearl ~]# uname -r 3.4.9-1-ARCH Uff, vamos que podría ser la version del nucleo y la implementacion de iproute2 junto con el... uname -r 2.6.32-5-686 Alguien que tenga una configuracion parecida con debian estable y el nucleo de debian podría confirmarme que no le funciona o que si le funciona? me refiero con el nucleo 2.6.32-5-686 y # ip -V ip utility, iproute2-ss100519 # iptables -V iptables v1.4.8 Saludos y gracias de antemano -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5049ae1a.2000...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 05/09/12 18:48, Marc Olive escribió: On Wednesday 05 September 2012 16:13:44 Francisco J. Bejarano wrote: Hola Tengo un problema con iptables y reglas de enrutamiento (iproute2 (ip rule)). Expongo mi caso: Actualicé de Debian 4 a Debian 6.0.5 con los pasos intermedios, de 4 a 5 y de 5 a 6. En debian 4 todo funcionaba okpero en Debian 6.0.5 ha dejado de funcionar la parte de enrutado de los paquetes marcados. Uoou! Menuda actualización, y felicidades por tu osadia y haberlo logrado (casi del todo). Si, es lo que tienen las emergencias y no poder eliminar el sistema. [..] # ip rule 0: from all lookup local, 30010: from all lookup fwmark 0x2 TB2 30020: from all lookup fwmark 0x1 TB1 30030: from 10.0.2.0/24 lookup TB3 30040: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Ok. ¿Alguien sabe lo que puedo estar haciendo mal? ¿Ha cambiado la forma marcado en el firewall iptables o de crear las reglas de ruteo? Tengo montado algo parecido, e ip rule me muestra esa información con otro orden, primero la marca y luego la tabla de enrutamiento. Esto ha sido error de typeo, escribi primero el mensaje en ingles. Es correcto como tu la pones. A mi me sale igual. , además, el campo from contiene específicamente la IP de la interfície, no de la red. Es posible que sea por esto? Probare aunque segun el man se pueden poner rangos y demás. En teoría si pongo 10.0.1.0/24 estoy incluyendo la interfaz pero si hay que poner especificamente la ip de la interfaz probare. Pongo el recorrido de un paquete mio por si ayuda. De la red 2 por ejemplo. IPCliente(10.0.2.25/24 P22) -- Firewall eth2 (10.0.2.1) -- PREROUTING (marca con 2) -- Decision de ruteo (Se elige tabla con ip rule) Yo creo que aqui es donde falla (TB2) -- POSTROUTING Masquerade -- eth4 (10.0.0.5/29) -- ADSL2 (Internet) Como hace NAT, la IP de orígen del paquete cambia por la IP de la ethernet que hace NAT. He adaptado un poco mi salida para que concuerde mas con tu configuración: # ip rule 0: from all lookup local 32761: from all fwmark 0x2 lookup TB2 32762: from all fwmark 0x1 lookup TB1 32763: from 10.0.2.2 lookup TB2 32764: from 10.0.2.1 lookup TB1 32766: from all lookup main 32767: from all lookup default Aquí, las dos IPs 10.0.2.x són las IPs externas del firewall, las que envian los paquetes hacia las adsl, en tu salida aparece un rango de IPs, y sospecho que són las IPs internas de la red. Si, son las IPs internas de la red 1 y 2. En debian 4 no habia problema puede que haya cambiado ahora. Las ips externas ¿te refieres a las interfaces de red eth del firewall, al gateway de cada red no? Tengo las rutas en un script bash dentro un loop que recorre todas las ethernets e ips que hay conectadas, por si te sirve, la líniea es: ip rule add from ${EXTIPs[n]} table TB$((n+1)) Donde EXTIP es un array con las IPs de la ethernets externas, y n es el contador del loop. Una vez haciendo el loop, quedaria: ip rule add from 10.0.2.2 table TB2 ip rule add from 10.0.2.1 table TB1 Las tablas de enrutamiento deben definirse también en /etc/iproute2/rt_tables, no comentas nada sobre este archivo en tu correo y desconozco si estan o no. En ese archivo, después de las reserved values deberia haber algo como: 11 TB1 12 TB2 Si esto esta correctamente definido. Registro los paquetes en el registro de sistema que se marcan con 1 o 2 y en el log se muestran. Existe tráfico que se marca con 1 y 2, pero después, el tráfico no se envía a las tablas de enrutamiento correctas. ¿Es un bug de ip rule (iproute2) o algo así? Muestra del log Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 Como los paquetes se marcan correctamente, he omitido por completo la parte de iptables, no parece ser el problema. Las he mirado por encima y me han parecido correctas. Si, aunque en un principio hacía cosas extrañas, marcaba lo que le daba la
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 04/09/12 23:19, Juan Antonio escribió: On 05/09/12 16:13, Francisco J. Bejarano wrote: Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que tiene configuradas la pasarela? fíjate que no se especifica ningún interfaz en OUT = y de hecho ese tráfico no tiene que llegar a ninguna tabla porque es local ¿tienes tráfico en el log marcado que no sea para el propio router? ¿por dónde sale el tráfico que no sale por donde debería? Un saludo. Hola, el trafico marcado lo logeo en mangle, prerouting despues de marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que corresponda de las adsl. No es para el propio router. El trafico, en la tabla main tiene un default route a TB2 (debido a ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no marcado. -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50485256.9000...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 04/09/12 23:07, Juan Antonio escribió: On 05/09/12 16:13, Francisco J. Bejarano wrote: iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p tcp -m tcp --dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p udp -m udp -m multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 estas cadenas no tienen sentido, eso es postrouted y por lo tanto las marcas ya no te sirven. También puedes simplificar mucho las reglas quitando el --state ya que es para todo el tráfico y aunque no solucione nada estarán mas claras. Tienen sentido cuando estoy en el firewall y quiero acceder desde el a determinados lugares por determinadas lineas. No por la default. Por otra parte, tienes rules de ip que coinciden con las redes from 10.0.2.0/24 lookup TB3 que puede que tengan preferencia sobre las marcas, habría que mirarlo en la documentación, podría ser significativo si el tráfico que has marcado para salir por TB2 sale por TB3 o por la tabla main. Si, esto es lo que no se, en teoria el sistema de prioridades de ip rule (los numeros al inicio de la regla) debería ir en orden. Mas prioridad el menor numero, por tanto, si llega de cualquier sitio cualquier trafico marcado con 2 deberia enviarlo por TB2 con la regla from all fwmark 0x2 lookup TB2 que tiene prioridad mas alta y cuando llega trafico no marcado con 2 (o 1) seguir bajando reglas hasta llegar a la regla general from 10.0.2.0/24 lookup TB3 con prioridad menor y si no cumple la red 2 ni el marcado ir a la regla de la tabla main... por eso no se si esto es lo que falla y pasa de las prioridades o hay alguna prioridad que prevalece independientemente del numero (cosa que sería un desproposito ya que el sistema de prioridades no valdría para nada) Un saludo. Saludos y gracias por contestar -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048540b.8090...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 09:35, Francisco J. Bejarano escribió: El 04/09/12 23:19, Juan Antonio escribió: On 05/09/12 16:13, Francisco J. Bejarano wrote: Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que tiene configuradas la pasarela? fíjate que no se especifica ningún interfaz en OUT = y de hecho ese tráfico no tiene que llegar a ninguna tabla porque es local ¿tienes tráfico en el log marcado que no sea para el propio router? ¿por dónde sale el tráfico que no sale por donde debería? Un saludo. Hola, el trafico marcado lo logeo en mangle, prerouting despues de marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que corresponda de las adsl. No es para el propio router. El trafico, en la tabla main tiene un default route a TB2 (debido a ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no marcado. ¿pero por qué se ve en DST una ip del mismo rango de red? Si es tráfico forwarded debería verse el dst original y la mac del interfaz del router. Si el main default es el mismo que el default de TB2 ¿para que añades reglas explicitas para usar esa tabla? ¿hay otras rutas en TB2 diferentes a main? Me parece una configuración muy compleja que seguramente podrías reducir a 3 o 4 líneas de iptables y dos rules de iproute, asi podrías depurar mucho mejor. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/504855b9.7060...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 09:50, Juan Antonio escribió: El 06/09/12 09:35, Francisco J. Bejarano escribió: El 04/09/12 23:19, Juan Antonio escribió: On 05/09/12 16:13, Francisco J. Bejarano wrote: Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que tiene configuradas la pasarela? fíjate que no se especifica ningún interfaz en OUT = y de hecho ese tráfico no tiene que llegar a ninguna tabla porque es local ¿tienes tráfico en el log marcado que no sea para el propio router? ¿por dónde sale el tráfico que no sale por donde debería? Un saludo. Hola, el trafico marcado lo logeo en mangle, prerouting despues de marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que corresponda de las adsl. No es para el propio router. El trafico, en la tabla main tiene un default route a TB2 (debido a ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no marcado. ¿pero por qué se ve en DST una ip del mismo rango de red? Si es tráfico forwarded debería verse el dst original y la mac del interfaz del router. Te pongo otro trozo de log de una ip de la red interna 2 que va hacia afuera a una ip de internet (forward). Como ves tampoco tiene interfaz out. Asi descarto que fuera mi direccion al firewall ya que estoy conectado por ssh y mi trafico si iria al propio firewall. Sep 5 17:13:51 firewall kernel: [1890254.612411] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=312 DF PROTO=TCP SPT=43691 DPT=22 WINDOW=2608 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 17:13:51 firewall kernel: [1890254.649763] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=313 DF PROTO=TCP SPT=43691 DPT=22 WINDOW=2597 RES=0x00 ACK URGP=0 MARK=0x2 Si el main default es el mismo que el default de TB2 ¿para que añades reglas explicitas para usar esa tabla? ¿hay otras rutas en TB2 diferentes a main? Me parece una configuración muy compleja que seguramente podrías reducir a 3 o 4 líneas de iptables y dos rules de iproute, asi podrías depurar mucho mejor. Tengo 5 redes y hay que enviar el trafico dependiendo del origen de la red y dentro del origen de la red dependiendo del puerto del destino. Si es algo complejo pero necesario debido a ciertas validaciones de seguridad de ips en servidores de destino que dependen de donde salga el trafico. Las 2 redes que pongo son de 2 empresas diferentes que comparten la misma salida TB3 (adsls balanceados con ancho de banda elevado) pero que para ciertos traficos, cada empresa ha de salir por su propio adsl con ip fija y solo cuando usa determinados puertos, si no debería usar la TB3, peero, por defecto global se usa una de las TB con ip fija... Yo no pongo las reglas pero he de ceñirme a ellas y esto estaba funcionando correctamente en debian 4 y no creo que haya cambiado mucho iptables a nivel funcionamiento general, o eso espero. De hecho como esta echo debería funcionar a no ser que algo del marcado y prioridades este haciendolo yo mal. Un saludo. -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/504859bf.6070...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 09:43, Francisco J. Bejarano escribió: Tienen sentido cuando estoy en el firewall y quiero acceder desde el a determinados lugares por determinadas lineas. No por la default. tienes razón, Routing decision, since the previous mangle and nat changes may have changed how the packet should be routed. no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de encaminamiento. prueba a quitar las rules que coinciden con las redes a ver si el tráfico marcado se encamina bien, si el log te dice que se marca, esta claro que el problema es con iproute. Prueba también a añadir las reglas de log a FORWARD para ver todos los campos completados, igual sacas mas información. Pregunta tonta, el problema es que el tráfico sale por donde no debe, o que sencillamente no sale. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/504859e1.1040...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 10:07, Francisco J. Bejarano escribió: Te pongo otro trozo de log de una ip de la red interna 2 que va hacia afuera a una ip de internet (forward). Como ves tampoco tiene interfaz out. Asi descarto que fuera mi direccion al firewall ya que estoy conectado por ssh y mi trafico si iria al propio firewall. Sep 5 17:13:51 firewall kernel: [1890254.612411] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=312 DF PROTO=TCP SPT=43691 DPT=22 WINDOW=2608 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 17:13:51 firewall kernel: [1890254.649763] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=313 DF PROTO=TCP SPT=43691 DPT=22 WINDOW=2597 RES=0x00 ACK URGP=0 MARK=0x2 ok, es que como coincidia que todo el tráfico iba para esas ips, pensé que quiza estabas malinterpretando esos logs y pensando que había un problema donde no lo había. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50485aad.8050...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 10:08, Juan Antonio escribió: El 06/09/12 09:43, Francisco J. Bejarano escribió: Tienen sentido cuando estoy en el firewall y quiero acceder desde el a determinados lugares por determinadas lineas. No por la default. tienes razón, Routing decision, since the previous mangle and nat changes may have changed how the packet should be routed. no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de encaminamiento. prueba a quitar las rules que coinciden con las redes a ver si el tráfico marcado se encamina bien, si el log te dice que se marca, esta claro que el problema es con iproute. Prueba también a añadir las reglas de log a FORWARD para ver todos los campos completados, igual sacas mas información. Pregunta tonta, el problema es que el tráfico sale por donde no debe, o que sencillamente no sale. Si que sale pero no por donde debe, por eso me inclino a que el fallo es en iproute2 y no en el firewall. Espero que no sea un bug con las prioridades porque estoy @##~@~do :-D Un saludo. Saludos -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50485b6f.2020...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 10:08, Juan Antonio escribió: El 06/09/12 09:43, Francisco J. Bejarano escribió: Tienen sentido cuando estoy en el firewall y quiero acceder desde el a determinados lugares por determinadas lineas. No por la default. tienes razón, Routing decision, since the previous mangle and nat changes may have changed how the packet should be routed. no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de encaminamiento. prueba a quitar las rules que coinciden con las redes a ver si el tráfico marcado se encamina bien, si el log te dice que se marca, esta claro que el problema es con iproute. Prueba también a añadir las reglas de log a FORWARD para ver todos los campos completados, igual sacas mas información. Pregunta tonta, el problema es que el tráfico sale por donde no debe, o que sencillamente no sale. Un saludo. por cierto, tienes ip route get para ver decisiones de encaminamiento en función de origen, destino, marcas, etc ... yo lo uso cuando me hago la picha un lio, quiza te sirva también de algo. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50485b86.4030...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
He probado con poner específicamente la interfaz y no funciona. Hace lo mismo. He puesto las siguientes reglas por encima de todo en prioridad excepto en 30010: from 10.0.2.226 fwmark 0x2 lookup TB2 30015: from 10.0.2.226 lookup TB3 Especificamente para que solo mi host salga por uno u otro lado sin molestar al resto de la red. Por defecto toda mi red ahora esta saliendo por la adsl2 incluido yo. Al poner estas reglas, mi red sigue saliendo por la adsl2 como estaba previsto pero yo, salgo ahora, independientemente del puerto, por adsl3, lo que indica que la ip rule que incluye fwmark se la pasa por el forro mientras que aplica la siguiente, la 30015... Es decir, aunque el firewall marca correctamente en prerouting de mangle el trafico al puerto 22 con la marca 2, cuando se va a tomar la decisión de ruteo y tiene que ejecutar la ip rule 30010 esta no es ejecutada enviando el paquete por la tabla TB2 y continua con la siguiente regla 30015 y la envia a TB3 como si no estuviera marcado el paquete... ¿Alguna sugerencia? He visto que en el fichero /etc/iproute2/rt_tables estan creadas las tablas asi. ¿Influye en algo el orden de estas tablas en el fichero? Quiero decir si son prioritarias segun el id dado y va mirando unas primero y luego otras. Si fuera asi es posible que ip rules mirara primero las reglas de una tabla y despues los de otra independientemente de la prioridad del comando ip rule. # # reserved values # 255 local 254 main 253 default 0 unspec # # local # #1 inr.ruhep 201 TB1 202 TB3 203 TB2 El 06/09/12 10:15, Juan Antonio escribió: El 06/09/12 10:08, Juan Antonio escribió: El 06/09/12 09:43, Francisco J. Bejarano escribió: Tienen sentido cuando estoy en el firewall y quiero acceder desde el a determinados lugares por determinadas lineas. No por la default. tienes razón, Routing decision, since the previous mangle and nat changes may have changed how the packet should be routed. no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de encaminamiento. prueba a quitar las rules que coinciden con las redes a ver si el tráfico marcado se encamina bien, si el log te dice que se marca, esta claro que el problema es con iproute. Prueba también a añadir las reglas de log a FORWARD para ver todos los campos completados, igual sacas mas información. Pregunta tonta, el problema es que el tráfico sale por donde no debe, o que sencillamente no sale. Un saludo. por cierto, tienes ip route get para ver decisiones de encaminamiento en función de origen, destino, marcas, etc ... yo lo uso cuando me hago la picha un lio, quiza te sirva también de algo. Un saludo. -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048823f.6010...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 13:00, Francisco J. Bejarano escribió: 30015: from 10.0.2.226 lookup TB3 ¿y si quitas esta llega a TB2 o a main? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048832b.5000...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
Voy a ponerlo mas claro que puede que sea un lio. 0: from all lookup local 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. 0: from all lookup local 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Quito el marcado y sigue yendo a TB3 por ambos puertos. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default He quitado lo especifico a mi direccion y sigue yendo por TB3 como corresponde a la regla 30040. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene main. Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta... El 06/09/12 13:04, Juan Antonio escribió: El 06/09/12 13:00, Francisco J. Bejarano escribió: 30015: from 10.0.2.226 lookup TB3 ¿y si quitas esta llega a TB2 o a main? -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50488c13.3060...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
On Thursday 06 September 2012 13:42:11 Francisco J. Bejarano wrote: Voy a ponerlo mas claro que puede que sea un lio. 0: from all lookup local 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. Pero si haces NAT, el campo from de tus paquetes cambian a la IP externa del firewall y luego se reenvian. Yo creo (y puedo equivocarme, por supuesto) que la regla deberia ser: 30009: from ip_externa_2 fwmark 0x2 lookup TB2 30010: from ip_externa_1 fwmark 0x1 lookup TB1 Es decir: # ip rule add from ip_externa_1 table TB1 # ip rule add from ip_externa_2 table TB2 10.0.1.0/24 y 10.0.2.0/24 són las IPs internas. -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 13:58, Marc Olive escribió: On Thursday 06 September 2012 13:42:11 Francisco J. Bejarano wrote: Voy a ponerlo mas claro que puede que sea un lio. 0: from all lookup local 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. Pero si haces NAT, el campo from de tus paquetes cambian a la IP externa del firewall y luego se reenvian. Yo creo (y puedo equivocarme, por supuesto) que la regla deberia ser: 30009: from ip_externa_2 fwmark 0x2 lookup TB2 30010: from ip_externa_1 fwmark 0x1 lookup TB1 Es decir: # ip rule add from ip_externa_1 table TB1 # ip rule add from ip_externa_2 table TB2 10.0.1.0/24 y 10.0.2.0/24 són las IPs internas. si hace nat del source es en postrouting, cuando el tráfico pasa por el proceso de encaminamiento aun lleva el source original. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048993c.1070...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 13:42, Francisco J. Bejarano escribió: Voy a ponerlo mas claro que puede que sea un lio. 0: from all lookup local 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. 0: from all lookup local 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Quito el marcado y sigue yendo a TB3 por ambos puertos. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default He quitado lo especifico a mi direccion y sigue yendo por TB3 como corresponde a la regla 30040. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene main. Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta... El 06/09/12 13:04, Juan Antonio escribió: El 06/09/12 13:00, Francisco J. Bejarano escribió: 30015: from 10.0.2.226 lookup TB3 ¿y si quitas esta llega a TB2 o a main? con toda la configuración, si haces un ip ro get ip_que_sea from 10.0.2.xx iif ethx mark 0x2 donde el ethx se corresponde con la red 10.0.2.0 ¿qué te dice? ¿a qué tabla te lo manda? Prueba también a meter una LOG de iptables en filter forward o mangle forward a ver como llegan ahí los paquetes, filtra por icmp por ejemplo para depurar con ping y te ahorras un montón de morralla. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50489ad1.6020...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 14:45, Juan Antonio escribió: El 06/09/12 13:42, Francisco J. Bejarano escribió: Voy a ponerlo mas claro que puede que sea un lio. 0: from all lookup local 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. 0: from all lookup local 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Quito el marcado y sigue yendo a TB3 por ambos puertos. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default He quitado lo especifico a mi direccion y sigue yendo por TB3 como corresponde a la regla 30040. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene main. Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta... El 06/09/12 13:04, Juan Antonio escribió: El 06/09/12 13:00, Francisco J. Bejarano escribió: 30015: from 10.0.2.226 lookup TB3 ¿y si quitas esta llega a TB2 o a main? con toda la configuración, si haces un ip ro get ip_que_sea from 10.0.2.xx iif ethx mark 0x2 donde el ethx se corresponde con la red 10.0.2.0 ¿qué te dice? ¿a qué tabla te lo manda? Prueba también a meter una LOG de iptables en filter forward o mangle forward a ver como llegan ahí los paquetes, filtra por icmp por ejemplo para depurar con ping y te ahorras un montón de morralla. No me funciona la opcion mark de iproute2, no esta esa opcion. He visto que el soporte mark es a partir del nucleo 2.6.36 parece ser. Yo tengo el nucleo de debian el 2.6.32.5. Estoy haciendo pruebas con las reglas y mi host a ver que saco en claro, luego lo escribo. Por cierto que. para hacer el trazado de rutas con puertos específicos uso el siguiente comando desde el PC que inicia la comunicación (10.0.2.226) siguiente, por si alguien quiere usarlo para sus pruebas en sus redes. sudo nmap -sS -p PuertodeDestino -Pn --traceroute --dns-server IPdelDNS nombrededominiodestino Ejemplo: sudo nmap -sS -p 443 -Pn --traceroute --dns-server 10.0.0.100 www.google.es Da un trazado desde 10.0.2.226 hasta www.google.es usando el puerto de destino 443 y el DNS interno 10.0.0.100. Cambiando el puerto de destino trazara un camino u otro dependiendo de las rutas que tengais. Bastante util. -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048b2bb.2090...@openknowledgenetwork.com
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
Acabo de añadir las regla siguientes para mi host con la configuracion inicial. La regla 30020 es el apaño que tengo para que la red 2 salga temporalmente por algun sitio y no se sature todo saliendo por el main (TB1) 0: from all lookup local *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3** * *30016: from 10.0.2.226 lookup TB3 **30019: from 10.0.2.0/24 lookup TB2* *30040: from 10.0.2.0/24 lookup TB3* Con esto trazo al puerto 22 y al 80 y voy a traves de TB3 en ambos cuando debería ir a traves de TB1 en el 22 que es mas prioritaria la regla. Quito la regla 30016 0: from all lookup local *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3** ***30019: from 10.0.2.0/24 lookup TB2* * **30040: from 10.0.2.0/24 lookup TB3** Trazo al 22 y al 80 y salgo por TB2 en ambos casos. Es decir con el 22 puede estar usando la regla 30014 o la 30019 pero con el puerto 80 solo puede estar usando la regla 30019. Quito las reglas sin marca de la red 30019 y la 30040 0: from all lookup local *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3*** Trazo ambos puertos: Y aqui veo que el 22 va por TB2 y el 80 por main (TB1) ... vaya vaya. Parece como si las reglas que son mas generales o globales con una red tuvieran mas prioridad que las reglas mas especificas (con un host con marcado) a pesar de ser mas prioritarias... En este caso el marcado lo ha enviado correctamente pero pongo al principio una regla general de marcado y 0: from all lookup local *30012: from all fwmark 0x2 lookup TB3* *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3*** Trazo los puertos y se salta la regla 30012, en fin, no entiendo como funciona esto. Se supone que los numeros de prioridad son para algo... alguna sugerencia? a mi ya me duele la cabeza... El 06/09/12 13:42, Francisco J. Bejarano escribió: Voy a ponerlo mas claro que puede que sea un lio. 0: from all lookup local 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. 0: from all lookup local 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Quito el marcado y sigue yendo a TB3 por ambos puertos. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default He quitado lo especifico a mi direccion y sigue yendo por TB3 como corresponde a la regla 30040. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene main. Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta... El 06/09/12 13:04, Juan Antonio escribió: El 06/09/12 13:00, Francisco J. Bejarano escribió: 30015: from 10.0.2.226 lookup TB3 ¿y si quitas esta llega a TB2 o a main? -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 -
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 17:39, Francisco J. Bejarano escribió: Acabo de añadir las regla siguientes para mi host con la configuracion inicial. La regla 30020 es el apaño que tengo para que la red 2 salga temporalmente por algun sitio y no se sature todo saliendo por el main (TB1) 0: from all lookup local *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3** * *30016: from 10.0.2.226 lookup TB3 **30019: from 10.0.2.0/24 lookup TB2* *30040: from 10.0.2.0/24 lookup TB3* Con esto trazo al puerto 22 y al 80 y voy a traves de TB3 en ambos cuando debería ir a traves de TB1 en el 22 que es mas prioritaria la regla. Quito la regla 30016 0: from all lookup local *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3** ***30019: from 10.0.2.0/24 lookup TB2* * **30040: from 10.0.2.0/24 lookup TB3** Trazo al 22 y al 80 y salgo por TB2 en ambos casos. Es decir con el 22 puede estar usando la regla 30014 o la 30019 pero con el puerto 80 solo puede estar usando la regla 30019. Quito las reglas sin marca de la red 30019 y la 30040 0: from all lookup local *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3*** Trazo ambos puertos: Y aqui veo que el 22 va por TB2 y el 80 por main (TB1) ... vaya vaya. Parece como si las reglas que son mas generales o globales con una red tuvieran mas prioridad que las reglas mas especificas (con un host con marcado) a pesar de ser mas prioritarias... En este caso el marcado lo ha enviado correctamente pero pongo al principio una regla general de marcado y 0: from all lookup local *30012: from all fwmark 0x2 lookup TB3* *30013: from 10.0.2.226 fwmark 0x2 lookup TB1 ***30014: from 10.0.2.226 fwmark 0x2 lookup TB2 *30015: from 10.0.2.226 fwmark 0x2 lookup TB3*** Trazo los puertos y se salta la regla 30012, en fin, no entiendo como funciona esto. Se supone que los numeros de prioridad son para algo... alguna sugerencia? a mi ya me duele la cabeza... El 06/09/12 13:42, Francisco J. Bejarano escribió: Voy a ponerlo mas claro que puede que sea un lio. 0: from all lookup local 30009: from 10.0.2.226 fwmark 0x2 lookup TB2 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Con la anterior configuracion mi direccion 10.0.2.226 va a TB3. Pasa del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3. Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3. 0: from all lookup local 30010: from 10.0.2.226 lookup TB3 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Quito el marcado y sigue yendo a TB3 por ambos puertos. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30040: from 10.0.2.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default He quitado lo especifico a mi direccion y sigue yendo por TB3 como corresponde a la regla 30040. 0: from all lookup local 30030: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene main. Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta... El 06/09/12 13:04, Juan Antonio escribió: El 06/09/12 13:00, Francisco J. Bejarano escribió: 30015: from 10.0.2.226 lookup TB3 ¿y si quitas esta llega a TB2 o a main? -- - Francisco J. Bejarano Responsable de Sistemas Dpt. Sistemas e Infraestructuras Open Knowledge Network S.L. francisco.bejar...@openknowledgenetwork.com Tel. (+34) 902 534 004 Fax. (+34) 917 266 476 - pues de momento, y para salir del paso, yo lo marcaría todo. Es decir iptables -t mangle -I PREROUTING -s 10.0.2.0/24 -p tcp --dport ! 22 -j mark --set-mark 0x1 iptables -t mangle -I PREROUTING -s 10.0.2.0/24 -p tcp --dport 22 -j mark --set-mark 0x11 etc ... habría que hacerlo asi (negando con !) porque en mangle una coincidencia no detiene el proceso. Despues usa rules solo con fwmarks. Se que no es lo mas bonito ni lo mas óptimo, pero como te he dicho, para salir del paso ...
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
El 06/09/12 17:39, Francisco J. Bejarano escribió: Trazo los puertos y se salta la regla 30012, en fin, no entiendo como funciona esto. Se supone que los numeros de prioridad son para algo... alguna sugerencia? a mi ya me duele la cabeza... algunas pruebas que he hecho. [root@blackpearl ~]# ip ru ls 0:from all lookup local 100:from 192.168.12.35 fwmark 0x1 lookup t1 101:from 192.168.12.35 lookup t2 32766:from all lookup main 32767:from all lookup default [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes) pkts bytes target prot opt in out source destination 0 0 MARK tcp -- * * 192.168.12.35 0.0.0.0/0tcp dpt:25 MARK set 0x1 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 cache src-direct,redirect iif eth0 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1 src 192.168.12.91 mark 1 cache src-direct iif eth0 todo correcto hasta aqui. cambiamos la prioridad [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0 mark 0x1 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0 src 192.168.12.91 mark 1 cache src-direct,redirect iif eth0 y hasta aqui también. [root@blackpearl ~]# uname -r 3.4.9-1-ARCH -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048cec4.6040...@limbo.deathwing.net
Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
Hola Tengo un problema con iptables y reglas de enrutamiento (iproute2 (ip rule)). Expongo mi caso: Actualicé de Debian 4 a Debian 6.0.5 con los pasos intermedios, de 4 a 5 y de 5 a 6. En debian 4 todo funcionaba okpero en Debian 6.0.5 ha dejado de funcionar la parte de enrutado de los paquetes marcados. Tengo tres tablas de enrutamiento TB1, TB2 y TB3. Estas tablas tienen rutas por defecto através de adsl1, adsl2 y adsl3 respectivamente. Las tablas de enrutamiento y las rutas están funcionando correctamente sin marcado. El servidor de seguridad (máquina) funciona como un router para cinco redes diferentes con 5 interfaces eth diferentes. eth1 (red1), eth2 (red2), eth3 (adsl3), eth4 (da acceso aadsl1 y adsl2) Necesito que el tráfico que pasa a través del servidor (forward) de la red1 pase por el adsl1 (TB1) si el puerto de destino es el 22 o 500, por ejemplo, pero si el puerto de destino es otro que vaya a adsl3 (TB3). Necesito que el tráfico que pasa a través del servidor (forward) de la red2 pase por el adsl2 (TB2) si el puerto de destino es el 22 o 500, por ejemplo, pero si el puerto de destino es otro que vaya a adsl3 (TB3). He creado algunas reglas en el cortafuegos dentro de la tabla mangle y cadena PREROUTING para marcar los paquetes antes de la decisión de enrutamiento. # Red2 marcado con 2 iptables -t mangle -A PREROUTING -s 10.0.2.0/255.255.255.0 -p tcp -m tcp --dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 iptables -t mangle -A PREROUTING -s 10.0.2.0/255.255.255.0 -p udp -m udp -m multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p tcp -m tcp --dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p udp -m udp -m multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 # El resto de paquetes (red1 incluido) marcado con 1 iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1 iptables -t mangle -A PREROUTING -p udp -m udp -m multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1 iptables -t mangle -A OUTPUT -p tcp -m tcp --dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1 iptables -t mangle -A OUTPUT -p udp -m udp -m multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1 He creado las reglas en la tabla nat iptables -t nat -A POSTROUTING -o -j MASQUERADE eth4 iptables -t nat -A POSTROUTING -o -j MASQUERADE eth3 Ok. Tengo algunas reglas de ruteo que son las que envían paquetes por uno u otro lugar dependiendo del marcado. # ip rule 0: from all lookup local, 30010: from all lookup fwmark 0x2 TB2 30020: from all lookup fwmark 0x1 TB1 30030: from 10.0.2.0/24 lookup TB3 30040: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Ok. ¿Alguien sabe lo que puedo estar haciendo mal? ¿Ha cambiado la forma marcado en el firewall iptables o de crear las reglas de ruteo? Registro los paquetes en el registro de sistema que se marcan con 1 o 2 y en el log se muestran. Existe tráfico que se marca con 1 y 2, pero después, el tráfico no se envía a las tablas de enrutamiento correctas. ¿Es un bug de ip rule (iproute2) o algo así? Muestra del log Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 Por favor, necesito ayuda con este problema. Toda mi red de trabajo está en una estado degradado ya que he de enviar trafico por diferentes rutas para que no se saturen las lineas y este depende del puerto al que se accede. Ya no sé que más ver para resolver este problema. Gracias de antemano y un saludo -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive:
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
On Wednesday 05 September 2012 16:13:44 Francisco J. Bejarano wrote: Hola Tengo un problema con iptables y reglas de enrutamiento (iproute2 (ip rule)). Expongo mi caso: Actualicé de Debian 4 a Debian 6.0.5 con los pasos intermedios, de 4 a 5 y de 5 a 6. En debian 4 todo funcionaba okpero en Debian 6.0.5 ha dejado de funcionar la parte de enrutado de los paquetes marcados. Uoou! Menuda actualización, y felicidades por tu osadia y haberlo logrado (casi del todo). [..] # ip rule 0: from all lookup local, 30010: from all lookup fwmark 0x2 TB2 30020: from all lookup fwmark 0x1 TB1 30030: from 10.0.2.0/24 lookup TB3 30040: from 10.0.1.0/24 lookup TB3 30060: from all lookup main 30070: from all lookup default Ok. ¿Alguien sabe lo que puedo estar haciendo mal? ¿Ha cambiado la forma marcado en el firewall iptables o de crear las reglas de ruteo? Tengo montado algo parecido, e ip rule me muestra esa información con otro orden, primero la marca y luego la tabla de enrutamiento, además, el campo from contiene específicamente la IP de la interfície, no de la red. Como hace NAT, la IP de orígen del paquete cambia por la IP de la ethernet que hace NAT. He adaptado un poco mi salida para que concuerde mas con tu configuración: # ip rule 0: from all lookup local 32761: from all fwmark 0x2 lookup TB2 32762: from all fwmark 0x1 lookup TB1 32763: from 10.0.2.2 lookup TB2 32764: from 10.0.2.1 lookup TB1 32766: from all lookup main 32767: from all lookup default Aquí, las dos IPs 10.0.2.x són las IPs externas del firewall, las que envian los paquetes hacia las adsl, en tu salida aparece un rango de IPs, y sospecho que són las IPs internas de la red. Tengo las rutas en un script bash dentro un loop que recorre todas las ethernets e ips que hay conectadas, por si te sirve, la líniea es: ip rule add from ${EXTIPs[n]} table TB$((n+1)) Donde EXTIP es un array con las IPs de la ethernets externas, y n es el contador del loop. Una vez haciendo el loop, quedaria: ip rule add from 10.0.2.2 table TB2 ip rule add from 10.0.2.1 table TB1 Las tablas de enrutamiento deben definirse también en /etc/iproute2/rt_tables, no comentas nada sobre este archivo en tu correo y desconozco si estan o no. En ese archivo, después de las reserved values deberia haber algo como: 11 TB1 12 TB2 Registro los paquetes en el registro de sistema que se marcan con 1 o 2 y en el log se muestran. Existe tráfico que se marca con 1 y 2, pero después, el tráfico no se envía a las tablas de enrutamiento correctas. ¿Es un bug de ip rule (iproute2) o algo así? Muestra del log Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 Como los paquetes se marcan correctamente, he omitido por completo la parte de iptables, no parece ser el problema. Las he mirado por encima y me han parecido correctas. Por favor, necesito ayuda con este problema. Toda mi red de trabajo está en una estado degradado ya que he de enviar trafico por diferentes rutas para que no se saturen las lineas y este depende del puerto al que se accede. Ya no sé que más ver para resolver este problema. Conozco perfectamente esta sensación ;-) No desesperes, ánimos! Gracias de antemano y un saludo -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
On Wednesday 05 September 2012 18:48:02 Marc Olive wrote: # ip rule 0: from all lookup local 32761: from all fwmark 0x2 lookup TB2 32762: from all fwmark 0x1 lookup TB1 32763: from 10.0.2.2 lookup TB2 32764: from 10.0.2.1 lookup TB1 32766: from all lookup main 32767: from all lookup default Uy! Al cambiar las IPs las he metido en la misma red :P Deberian ser 10.0.2.1 y 10.0.1.1 -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
On 05/09/12 16:13, Francisco J. Bejarano wrote: iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p tcp -m tcp --dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p udp -m udp -m multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2 estas cadenas no tienen sentido, eso es postrouted y por lo tanto las marcas ya no te sirven. También puedes simplificar mucho las reglas quitando el --state ya que es para todo el tráfico y aunque no solucione nada estarán mas claras. Por otra parte, tienes rules de ip que coinciden con las redes from 10.0.2.0/24 lookup TB3 que puede que tengan preferencia sobre las marcas, habría que mirarlo en la documentación, podría ser significativo si el tráfico que has marcado para salir por TB2 sale por TB3 o por la tabla main. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50466da0.7000...@limbo.deathwing.net
Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?
On 05/09/12 16:13, Francisco J. Bejarano wrote: Sep 5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1 Sep 5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT= MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1 Sep 5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2 Sep 5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT= MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que tiene configuradas la pasarela? fíjate que no se especifica ningún interfaz en OUT = y de hecho ese tráfico no tiene que llegar a ninguna tabla porque es local ¿tienes tráfico en el log marcado que no sea para el propio router? ¿por dónde sale el tráfico que no sale por donde debería? Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50467050.4020...@limbo.deathwing.net