Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-19 Por tema Francisco J. Bejarano 
Saludos

Al final, despues de mucho pelearlo he conseguido actualizar el sistema
desde cero, formatearlo y reconfigurarlo. Ahora tengo el nucleo 3.2 y
las opciones de ip route get que permitian la opcion mark.

El problema es que sigo igual. No envia los paquetes por donde debe, sin
embargo, cuando uso ip route get si que parece que coge las rutas que
debe coger.

En las opciones de red solo tengo activado ip_forward. Sabeis si hay que
configurar alguna opcion mas para que funcione el marcado y envio de
forma correcta?

Tengo iptables --version
iptables v1.4.12

En muchos lugares he visto que hay que tener instalado el modulo
ipt_mark pero en mi caso no esta instalado aunque leí en otros lugares
que era antiguo y que no era necesario (no tengo claro si se necesita o
no). Os pongo la lista de módulos por si falta alguno

ipt_MASQUERADE 12759  2
ipt_REJECT 12576  3
xt_multiport   12597  40
xt_state   12578  43
xt_tcpudp  12603  43
xt_mark12563  8
iptable_nat13229  1
nf_nat 25891  2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4  19716  46 iptable_nat,nf_nat
iptable_filter 12810  1
iptable_mangle 12734  1
ip_tables  27473  3 iptable_nat,iptable_filter,iptable_mangle
x_tables   29846  10
ipt_MASQUERADE,ipt_REJECT,xt_multiport,xt_state,xt_tcpudp,xt_mark,iptable_nat,iptable_filter,iptable_mangle,ip_tables
nf_conntrack   81926  6
ipt_MASQUERADE,xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ftp

Saludos

-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-

El 07/09/12 08:45, Francisco J. Bejarano escribió:
 
 
 El 06/09/12 18:26, Juan Antonio escribió:
 El 06/09/12 17:39, Francisco J. Bejarano escribió:
 Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
 funciona esto. Se supone que los numeros de prioridad son para algo...
 alguna sugerencia? a mi ya me duele la cabeza...
 algunas pruebas que he hecho.

 [root@blackpearl ~]# ip ru ls
 0:from all lookup local
 100:from 192.168.12.35 fwmark 0x1 lookup t1
 101:from 192.168.12.35 lookup t2
 32766:from all lookup main
 32767:from all lookup default

 [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING
 Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes)
  pkts bytes target prot opt in out source  
 destination
 0 0 MARK   tcp  --  *  *   192.168.12.35   
 0.0.0.0/0tcp dpt:25 MARK set 0x1

 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91
 cache src-direct,redirect  iif eth0
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1  src
 192.168.12.91  mark 1
 cache src-direct  iif eth0

 todo correcto hasta aqui. cambiamos la prioridad

 [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2
 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91  mark 1
 cache src-direct,redirect  iif eth0


 y hasta aqui también.

 [root@blackpearl ~]# uname -r
 3.4.9-1-ARCH
 
 Uff, vamos que podría ser la version del nucleo y la implementacion de
 iproute2 junto con el...
 uname -r
 2.6.32-5-686
 
 
 


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/505970d0.7060...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-19 Por tema Juan Antonio 
El 19/09/12 09:14, Francisco J. Bejarano escribió:
 Saludos
 
 Al final, despues de mucho pelearlo he conseguido actualizar el sistema
 desde cero, formatearlo y reconfigurarlo. Ahora tengo el nucleo 3.2 y
 las opciones de ip route get que permitian la opcion mark.
 
 El problema es que sigo igual. No envia los paquetes por donde debe, sin
 embargo, cuando uso ip route get si que parece que coge las rutas que
 debe coger.
 
 En las opciones de red solo tengo activado ip_forward. Sabeis si hay que
 configurar alguna opcion mas para que funcione el marcado y envio de
 forma correcta?
 
 Tengo iptables --version
 iptables v1.4.12
 
 En muchos lugares he visto que hay que tener instalado el modulo
 ipt_mark pero en mi caso no esta instalado aunque leí en otros lugares
 que era antiguo y que no era necesario (no tengo claro si se necesita o
 no). Os pongo la lista de módulos por si falta alguno
 
 ipt_MASQUERADE 12759  2
 ipt_REJECT 12576  3
 xt_multiport   12597  40
 xt_state   12578  43
 xt_tcpudp  12603  43
 xt_mark12563  8
 iptable_nat13229  1
 nf_nat 25891  2 ipt_MASQUERADE,iptable_nat
 nf_conntrack_ipv4  19716  46 iptable_nat,nf_nat
 iptable_filter 12810  1
 iptable_mangle 12734  1
 ip_tables  27473  3 iptable_nat,iptable_filter,iptable_mangle
 x_tables   29846  10
 ipt_MASQUERADE,ipt_REJECT,xt_multiport,xt_state,xt_tcpudp,xt_mark,iptable_nat,iptable_filter,iptable_mangle,ip_tables
 nf_conntrack   81926  6
 ipt_MASQUERADE,xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ftp
 
 Saludos
 
 -
 Francisco J. Bejarano
 Responsable de Sistemas
 Dpt. Sistemas e Infraestructuras
 Open Knowledge Network S.L.
 francisco.bejar...@openknowledgenetwork.com
 Tel. (+34) 902 534 004
 Fax. (+34) 917 266 476
 -
 
 El 07/09/12 08:45, Francisco J. Bejarano escribió:


 El 06/09/12 18:26, Juan Antonio escribió:
 El 06/09/12 17:39, Francisco J. Bejarano escribió:
 Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
 funciona esto. Se supone que los numeros de prioridad son para algo...
 alguna sugerencia? a mi ya me duele la cabeza...
 algunas pruebas que he hecho.

 [root@blackpearl ~]# ip ru ls
 0:from all lookup local
 100:from 192.168.12.35 fwmark 0x1 lookup t1
 101:from 192.168.12.35 lookup t2
 32766:from all lookup main
 32767:from all lookup default

 [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING
 Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes)
  pkts bytes target prot opt in out source  
 destination
 0 0 MARK   tcp  --  *  *   192.168.12.35   
 0.0.0.0/0tcp dpt:25 MARK set 0x1

 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91
 cache src-direct,redirect  iif eth0
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1  src
 192.168.12.91  mark 1
 cache src-direct  iif eth0

 todo correcto hasta aqui. cambiamos la prioridad

 [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2
 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91  mark 1
 cache src-direct,redirect  iif eth0


 y hasta aqui también.

 [root@blackpearl ~]# uname -r
 3.4.9-1-ARCH

 Uff, vamos que podría ser la version del nucleo y la implementacion de
 iproute2 junto con el...
 uname -r
 2.6.32-5-686



 
 

Si te faltase un módulo iptables daría un error al escribir la regla que
hace uso de ese módulo.

¿probaste a dejarlo todo limpio y hacer una prueba sencilla con 2 rules
y una marca? si es asi ¿podrías pegar como lo hiciste y los resultados?

Un saludo.

-- 
Tanto en los deportes como en todo lo demás, soy un experto. Pero para
mantener viva mi inteligencia natural y fuera de serie, tengo que comer
mucho


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/505971f2.2080...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-07 Por tema Francisco J. Bejarano 


El 06/09/12 18:26, Juan Antonio escribió:
 El 06/09/12 17:39, Francisco J. Bejarano escribió:
 Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
 funciona esto. Se supone que los numeros de prioridad son para algo...
 alguna sugerencia? a mi ya me duele la cabeza...
 algunas pruebas que he hecho.

 [root@blackpearl ~]# ip ru ls
 0:from all lookup local
 100:from 192.168.12.35 fwmark 0x1 lookup t1
 101:from 192.168.12.35 lookup t2
 32766:from all lookup main
 32767:from all lookup default

 [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING
 Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes)
  pkts bytes target prot opt in out source  
 destination
 0 0 MARK   tcp  --  *  *   192.168.12.35   
 0.0.0.0/0tcp dpt:25 MARK set 0x1

 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91
 cache src-direct,redirect  iif eth0
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1  src
 192.168.12.91  mark 1
 cache src-direct  iif eth0

 todo correcto hasta aqui. cambiamos la prioridad

 [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2
 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91  mark 1
 cache src-direct,redirect  iif eth0


 y hasta aqui también.

 [root@blackpearl ~]# uname -r
 3.4.9-1-ARCH

Uff, vamos que podría ser la version del nucleo y la implementacion de
iproute2 junto con el...
uname -r
2.6.32-5-686



-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50499822.5010...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-07 Por tema Francisco J. Bejarano 
El 07/09/12 08:45, Francisco J. Bejarano escribió:

 El 06/09/12 18:26, Juan Antonio escribió:
 El 06/09/12 17:39, Francisco J. Bejarano escribió:
 Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
 funciona esto. Se supone que los numeros de prioridad son para algo...
 alguna sugerencia? a mi ya me duele la cabeza...
 algunas pruebas que he hecho.

 [root@blackpearl ~]# ip ru ls
 0:from all lookup local
 100:from 192.168.12.35 fwmark 0x1 lookup t1
 101:from 192.168.12.35 lookup t2
 32766:from all lookup main
 32767:from all lookup default

 [root@blackpearl ~]# iptables -t mangle -vnL PREROUTING
 Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes)
  pkts bytes target prot opt in out source  
 destination
 0 0 MARK   tcp  --  *  *   192.168.12.35   
 0.0.0.0/0tcp dpt:25 MARK set 0x1

 root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91
 cache src-direct,redirect  iif eth0
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1  src
 192.168.12.91  mark 1
 cache src-direct  iif eth0

 todo correcto hasta aqui. cambiamos la prioridad

 [root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2
 [root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2
 [root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
 mark 0x1
 157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
 192.168.12.91  mark 1
 cache src-direct,redirect  iif eth0


 y hasta aqui también.

 [root@blackpearl ~]# uname -r
 3.4.9-1-ARCH
 Uff, vamos que podría ser la version del nucleo y la implementacion de
 iproute2 junto con el...
 uname -r
 2.6.32-5-686

Alguien que tenga una configuracion parecida con debian estable y el
nucleo de debian podría confirmarme que no le funciona o que si le
funciona? me refiero con el nucleo 2.6.32-5-686 y

# ip -V
ip utility, iproute2-ss100519
# iptables -V
iptables v1.4.8

Saludos y gracias de antemano






-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5049ae1a.2000...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
El 05/09/12 18:48, Marc Olive escribió:
 On Wednesday 05 September 2012 16:13:44 Francisco J. Bejarano wrote:
 Hola

 Tengo un problema con iptables y reglas de enrutamiento (iproute2 (ip
 rule)). Expongo mi caso:

 Actualicé de Debian 4 a Debian 6.0.5 con los pasos intermedios, de 4 a 5
 y de 5 a 6. En debian 4 todo funcionaba okpero en Debian 6.0.5 ha dejado
 de funcionar la parte de enrutado de los paquetes marcados.
 Uoou! Menuda actualización, y felicidades por tu osadia y haberlo logrado 
 (casi del todo).
Si, es lo que tienen las emergencias y no poder eliminar el sistema.


 [..]

 # ip rule
 0: from all lookup local,
 30010: from all lookup fwmark 0x2 TB2
 30020: from all lookup fwmark 0x1 TB1
 30030: from 10.0.2.0/24 lookup TB3
 30040: from 10.0.1.0/24 lookup TB3
 30060: from all lookup main
 30070: from all lookup default

 Ok. ¿Alguien sabe lo que puedo estar haciendo mal? ¿Ha cambiado la forma
 marcado en el firewall iptables o de crear las reglas de ruteo?
 Tengo montado algo parecido, e ip rule me muestra esa información con otro 
 orden, primero la marca y luego la tabla de enrutamiento.

Esto ha sido error de typeo, escribi primero el mensaje en ingles. Es
correcto como tu la pones. A mi me sale igual.

 , además, el campo 
 from contiene específicamente la IP de la interfície, no de la red.

Es posible que sea por esto? Probare aunque segun el man se pueden poner
rangos y demás. En teoría si pongo 10.0.1.0/24 estoy incluyendo la
interfaz pero si hay que poner especificamente la ip de la interfaz
probare. Pongo el recorrido de un paquete mio por si ayuda. De la red 2
por ejemplo.

IPCliente(10.0.2.25/24 P22) -- Firewall eth2 (10.0.2.1) -- PREROUTING
(marca con 2) -- Decision de ruteo (Se elige tabla con ip rule) Yo creo
que aqui es donde falla (TB2) -- POSTROUTING Masquerade -- eth4
(10.0.0.5/29) -- ADSL2 (Internet)

  Como 
 hace NAT, la IP de orígen del paquete cambia por la IP de la ethernet que 
 hace 
 NAT.
 He adaptado un poco mi salida para que concuerde mas con tu configuración:

 # ip rule
 0:  from all lookup local 
 32761:  from all fwmark 0x2 lookup TB2 
 32762:  from all fwmark 0x1 lookup TB1 
 32763:  from 10.0.2.2 lookup TB2 
 32764:  from 10.0.2.1 lookup TB1 
 32766:  from all lookup main 
 32767:  from all lookup default 

 Aquí, las dos IPs 10.0.2.x són las IPs externas del firewall, las que envian 
 los paquetes hacia las adsl, en tu salida aparece un rango de IPs, y sospecho 
 que són las IPs internas de la red.

Si, son las IPs internas de la red 1 y 2. En debian 4 no habia problema
puede que haya cambiado ahora.
Las ips externas ¿te refieres a las interfaces de red eth del firewall,
al gateway de cada red no?


 Tengo las rutas en un script bash dentro un loop que recorre todas las 
 ethernets e ips que hay conectadas, por si te sirve, la líniea es:

 ip rule add from ${EXTIPs[n]} table TB$((n+1))

 Donde EXTIP es un array con las IPs de la ethernets externas, y n es el 
 contador del loop. Una vez haciendo el loop, quedaria:

 ip rule add from 10.0.2.2 table TB2
 ip rule add from 10.0.2.1 table TB1

 Las tablas de enrutamiento deben definirse también en 
 /etc/iproute2/rt_tables, 
 no comentas nada sobre este archivo en tu correo y desconozco si estan o no. 
 En ese archivo, después de las reserved values deberia haber algo como:

 11  TB1
 12  TB2
Si esto esta correctamente definido.

 Registro los paquetes en el registro de sistema que se marcan con 1 o 2
 y en el log se muestran. Existe tráfico que se marca con 1 y 2, pero
 después, el tráfico no se envía a las tablas de enrutamiento correctas.
 ¿Es un bug de ip rule (iproute2) o algo así? Muestra del log

 Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
 Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
 Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
 Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2
 Como los paquetes se marcan correctamente, he omitido por completo la parte 
 de 
 iptables, no parece ser el problema. Las he mirado por encima y me han 
 parecido correctas.

Si, aunque en un principio hacía cosas extrañas, marcaba lo que le daba
la

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
El 04/09/12 23:19, Juan Antonio escribió:
 On 05/09/12 16:13, Francisco J. Bejarano wrote:
 Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
 Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
 Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
 Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2
 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que
 tiene configuradas la pasarela? fíjate que no se especifica ningún
 interfaz en  OUT = y de hecho ese tráfico no tiene que llegar a
 ninguna tabla porque es local ¿tienes tráfico en el log marcado que no
 sea para el propio router? ¿por dónde sale el tráfico que no sale por
 donde debería?

 Un saludo.

Hola, el trafico marcado lo logeo en mangle, prerouting despues de
marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado
la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que
corresponda de las adsl. No es para el propio router.

El trafico, en la tabla main tiene un default route a TB2 (debido a
ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no
marcado.







-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50485256.9000...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
El 04/09/12 23:07, Juan Antonio escribió:
 On 05/09/12 16:13, Francisco J. Bejarano wrote:
 iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p tcp -m tcp
 --dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK
 --set-mark 0x2
 iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p udp -m udp -m
 multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED
 -j MARK --set-mark 0x2
 estas cadenas no tienen sentido, eso es postrouted y por lo tanto las
 marcas ya no te sirven.  También puedes simplificar mucho las reglas
 quitando el --state ya que es para todo el tráfico y aunque no
 solucione nada estarán mas claras.

Tienen sentido cuando estoy en el firewall y quiero acceder desde el a
determinados lugares por determinadas lineas. No por la default.


 Por otra parte, tienes rules de ip que coinciden con las redes from
 10.0.2.0/24 lookup TB3 que puede que tengan preferencia sobre las
 marcas, habría que mirarlo en la documentación, podría ser
 significativo si el tráfico que has marcado para salir por TB2 sale
 por TB3 o por la tabla main.

Si, esto es lo que no se, en teoria el sistema de prioridades de ip rule
(los numeros al inicio de la regla) debería ir en orden. Mas prioridad
el menor numero, por tanto, si llega de cualquier sitio cualquier
trafico marcado con 2 deberia enviarlo por TB2 con la regla from all
fwmark 0x2 lookup TB2 que tiene prioridad mas alta y cuando llega
trafico no marcado con 2 (o 1) seguir bajando reglas hasta llegar a la
regla general from 10.0.2.0/24 lookup TB3 con prioridad menor y si no
cumple la red 2 ni el marcado ir a la regla de la tabla main... por eso
no se si esto es lo que falla y pasa de las prioridades o hay alguna
prioridad que prevalece independientemente del numero (cosa que sería un
desproposito ya que el sistema de prioridades no valdría para nada)




 Un saludo.

Saludos y gracias por contestar









-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048540b.8090...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 09:35, Francisco J. Bejarano escribió:
 El 04/09/12 23:19, Juan Antonio escribió:
 On 05/09/12 16:13, Francisco J. Bejarano wrote:
 Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
 Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
 Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
 Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2
 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que
 tiene configuradas la pasarela? fíjate que no se especifica ningún
 interfaz en  OUT = y de hecho ese tráfico no tiene que llegar a
 ninguna tabla porque es local ¿tienes tráfico en el log marcado que no
 sea para el propio router? ¿por dónde sale el tráfico que no sale por
 donde debería?

 Un saludo.
 Hola, el trafico marcado lo logeo en mangle, prerouting despues de
 marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado
 la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que
 corresponda de las adsl. No es para el propio router.

 El trafico, en la tabla main tiene un default route a TB2 (debido a
 ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no
 marcado.







¿pero por qué se ve en DST una ip del mismo rango de red? Si es tráfico
forwarded debería verse el dst original y la mac del interfaz del router.

Si el main default es el mismo que el default de TB2 ¿para que añades
reglas explicitas para usar esa tabla? ¿hay otras rutas en TB2
diferentes a main? Me parece una configuración muy compleja que
seguramente podrías reducir a 3 o 4 líneas de iptables y dos rules de
iproute, asi podrías depurar mucho mejor.

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/504855b9.7060...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
El 06/09/12 09:50, Juan Antonio escribió:
 El 06/09/12 09:35, Francisco J. Bejarano escribió:
 El 04/09/12 23:19, Juan Antonio escribió:
 On 05/09/12 16:13, Francisco J. Bejarano wrote:
 Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
 Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
 Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
 Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2
 mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que
 tiene configuradas la pasarela? fíjate que no se especifica ningún
 interfaz en  OUT = y de hecho ese tráfico no tiene que llegar a
 ninguna tabla porque es local ¿tienes tráfico en el log marcado que no
 sea para el propio router? ¿por dónde sale el tráfico que no sale por
 donde debería?

 Un saludo.
 Hola, el trafico marcado lo logeo en mangle, prerouting despues de
 marcarlo con 1 o 2. Por eso no tiene out, porque todavia no se ha tomado
 la decision de ruteo. No es local es forward de eth1 o eth2 a la eth que
 corresponda de las adsl. No es para el propio router.

 El trafico, en la tabla main tiene un default route a TB2 (debido a
 ciertas necesidades de mi empresa) De hecho se va por ahi el trafico no
 marcado.




 ¿pero por qué se ve en DST una ip del mismo rango de red? Si es tráfico
 forwarded debería verse el dst original y la mac del interfaz del router.
Te pongo otro trozo de log de una ip de la red interna 2 que va hacia
afuera a una ip de internet (forward). Como ves tampoco tiene interfaz
out. Asi descarto que fuera mi direccion al firewall ya que estoy
conectado por ssh y mi trafico si iria al propio firewall.

Sep  5 17:13:51 firewall kernel: [1890254.612411] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121
DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=312 DF PROTO=TCP
SPT=43691 DPT=22 WINDOW=2608 RES=0x00 ACK URGP=0 MARK=0x2
Sep  5 17:13:51 firewall kernel: [1890254.649763] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121
DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=313 DF PROTO=TCP
SPT=43691 DPT=22 WINDOW=2597 RES=0x00 ACK URGP=0 MARK=0x2




 Si el main default es el mismo que el default de TB2 ¿para que añades
 reglas explicitas para usar esa tabla? ¿hay otras rutas en TB2
 diferentes a main? Me parece una configuración muy compleja que
 seguramente podrías reducir a 3 o 4 líneas de iptables y dos rules de
 iproute, asi podrías depurar mucho mejor.

Tengo 5 redes y hay que enviar el trafico dependiendo del origen de la
red y dentro del origen de la red dependiendo del puerto del destino. Si
es algo complejo pero necesario debido a ciertas validaciones de
seguridad de ips en servidores de destino que dependen de donde salga el
trafico. Las 2 redes que pongo son de 2 empresas diferentes que
comparten la misma salida TB3 (adsls balanceados con ancho de banda
elevado) pero que para ciertos traficos, cada empresa ha de salir por su
propio adsl con ip fija y solo cuando usa determinados puertos, si no
debería usar la TB3, peero, por defecto global se usa una de las TB con
ip fija... Yo no pongo las reglas pero he de ceñirme a ellas y esto
estaba funcionando correctamente en debian 4 y no creo que haya cambiado
mucho iptables a nivel funcionamiento general, o eso espero. De hecho
como esta echo debería funcionar a no ser que algo del marcado y
prioridades este haciendolo yo mal.

 Un saludo.




-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/504859bf.6070...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 09:43, Francisco J. Bejarano escribió:
 Tienen sentido cuando estoy en el firewall y quiero acceder desde el a
 determinados lugares por determinadas lineas. No por la default.

tienes razón,

Routing decision, since the previous mangle and nat changes may have
changed how the packet should be routed.

no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de
encaminamiento.

prueba a quitar las rules que coinciden con las redes a ver si el
tráfico marcado se encamina bien, si el log te dice que se marca, esta
claro que el problema es con iproute. Prueba también a añadir las reglas
de log a FORWARD para ver todos los campos completados, igual sacas mas
información.

Pregunta tonta, el problema es que el tráfico sale por donde no debe, o
que sencillamente no sale.

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/504859e1.1040...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 10:07, Francisco J. Bejarano escribió:
 Te pongo otro trozo de log de una ip de la red interna 2 que va hacia
 afuera a una ip de internet (forward). Como ves tampoco tiene interfaz
 out. Asi descarto que fuera mi direccion al firewall ya que estoy
 conectado por ssh y mi trafico si iria al propio firewall.

 Sep  5 17:13:51 firewall kernel: [1890254.612411] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121
 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=312 DF PROTO=TCP
 SPT=43691 DPT=22 WINDOW=2608 RES=0x00 ACK URGP=0 MARK=0x2
 Sep  5 17:13:51 firewall kernel: [1890254.649763] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:43:90:4c:e5:41:6b:d7:08:00 SRC=10.0.2.121
 DST=88.106.32.213 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=313 DF PROTO=TCP
 SPT=43691 DPT=22 WINDOW=2597 RES=0x00 ACK URGP=0 MARK=0x2

ok, es que como coincidia que todo el tráfico iba para esas ips, pensé
que quiza estabas malinterpretando esos logs y pensando que había un
problema donde no lo había.

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50485aad.8050...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
El 06/09/12 10:08, Juan Antonio escribió:
 El 06/09/12 09:43, Francisco J. Bejarano escribió:
 Tienen sentido cuando estoy en el firewall y quiero acceder desde el a
 determinados lugares por determinadas lineas. No por la default.
 tienes razón,

 Routing decision, since the previous mangle and nat changes may have
 changed how the packet should be routed.

 no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de
 encaminamiento.

 prueba a quitar las rules que coinciden con las redes a ver si el
 tráfico marcado se encamina bien, si el log te dice que se marca, esta
 claro que el problema es con iproute. Prueba también a añadir las reglas
 de log a FORWARD para ver todos los campos completados, igual sacas mas
 información.

 Pregunta tonta, el problema es que el tráfico sale por donde no debe, o
 que sencillamente no sale.
Si que sale pero no por donde debe, por eso me inclino a que el fallo es
en iproute2 y no en el firewall. Espero que no sea un bug con las
prioridades porque estoy @##~@~do :-D


 Un saludo.


Saludos

-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50485b6f.2020...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 10:08, Juan Antonio escribió:
 El 06/09/12 09:43, Francisco J. Bejarano escribió:
 Tienen sentido cuando estoy en el firewall y quiero acceder desde el a
 determinados lugares por determinadas lineas. No por la default.
 tienes razón,

 Routing decision, since the previous mangle and nat changes may have
 changed how the packet should be routed.

 no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de
 encaminamiento.

 prueba a quitar las rules que coinciden con las redes a ver si el
 tráfico marcado se encamina bien, si el log te dice que se marca, esta
 claro que el problema es con iproute. Prueba también a añadir las reglas
 de log a FORWARD para ver todos los campos completados, igual sacas mas
 información.

 Pregunta tonta, el problema es que el tráfico sale por donde no debe, o
 que sencillamente no sale.

 Un saludo.


por cierto, tienes ip route get para ver decisiones de encaminamiento en
función de origen, destino, marcas, etc ... yo lo uso cuando me hago la
picha un lio, quiza te sirva también de algo.

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50485b86.4030...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
He probado con poner específicamente la interfaz y no funciona. Hace lo
mismo.

He puesto las siguientes reglas por encima de todo en prioridad excepto en

30010:  from 10.0.2.226 fwmark 0x2 lookup TB2
30015:  from 10.0.2.226 lookup TB3

Especificamente para que solo mi host salga por uno u otro lado sin
molestar al resto de la red. Por defecto toda mi red ahora esta saliendo
por la adsl2 incluido yo. Al poner estas reglas, mi red sigue saliendo
por la adsl2 como estaba previsto pero yo, salgo ahora,
independientemente del puerto, por adsl3, lo que indica que la ip rule
que incluye fwmark se la pasa por el forro mientras que aplica la
siguiente, la 30015... Es decir, aunque el firewall marca correctamente
en prerouting de mangle el trafico al puerto 22 con la marca 2, cuando
se va a tomar la decisión de ruteo y tiene que ejecutar la ip rule 30010
esta no es ejecutada enviando el paquete por la tabla TB2 y continua con
la siguiente regla 30015 y la envia a TB3 como si no estuviera marcado
el paquete...

¿Alguna sugerencia?

He visto que en el fichero /etc/iproute2/rt_tables estan creadas las
tablas asi. ¿Influye en algo el orden de estas tablas en el fichero?
Quiero decir si son prioritarias segun el id dado y va mirando unas
primero y luego otras. Si fuera asi es posible que ip rules mirara
primero las reglas de una tabla y despues los de otra independientemente
de la prioridad del comando ip rule.

#
# reserved values
#
255 local
254 main
253 default
0   unspec
#
# local
#
#1  inr.ruhep
201 TB1
202 TB3
203 TB2




El 06/09/12 10:15, Juan Antonio escribió:
 El 06/09/12 10:08, Juan Antonio escribió:
 El 06/09/12 09:43, Francisco J. Bejarano escribió:
 Tienen sentido cuando estoy en el firewall y quiero acceder desde el a
 determinados lugares por determinadas lineas. No por la default.
 tienes razón,

 Routing decision, since the previous mangle and nat changes may have
 changed how the packet should be routed.

 no sabía que despues de MANGLE OUTPUT volvía a pasar por el proceso de
 encaminamiento.

 prueba a quitar las rules que coinciden con las redes a ver si el
 tráfico marcado se encamina bien, si el log te dice que se marca, esta
 claro que el problema es con iproute. Prueba también a añadir las reglas
 de log a FORWARD para ver todos los campos completados, igual sacas mas
 información.

 Pregunta tonta, el problema es que el tráfico sale por donde no debe, o
 que sencillamente no sale.

 Un saludo.


 por cierto, tienes ip route get para ver decisiones de encaminamiento en
 función de origen, destino, marcas, etc ... yo lo uso cuando me hago la
 picha un lio, quiza te sirva también de algo.

 Un saludo.




-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048823f.6010...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 13:00, Francisco J. Bejarano escribió:
 30015:  from 10.0.2.226 lookup TB3
¿y si quitas esta llega a TB2 o a main?




-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048832b.5000...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
Voy a ponerlo mas claro que puede que sea un lio.

0:  from all lookup local
30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
30010:  from 10.0.2.226 lookup TB3
30030:  from 10.0.1.0/24 lookup TB3
30040:  from 10.0.2.0/24 lookup TB3
30060:  from all lookup main
30070:  from all lookup default

Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.

0:  from all lookup local
30010:  from 10.0.2.226 lookup TB3
30030:  from 10.0.1.0/24 lookup TB3
30040:  from 10.0.2.0/24 lookup TB3
30060:  from all lookup main
30070:  from all lookup default

Quito el marcado y sigue yendo a TB3 por ambos puertos.

0:  from all lookup local
30030:  from 10.0.1.0/24 lookup TB3
30040:  from 10.0.2.0/24 lookup TB3
30060:  from all lookup main
30070:  from all lookup default

He quitado lo especifico a mi direccion y sigue yendo por TB3 como
corresponde a la regla 30040.

0:  from all lookup local
30030:  from 10.0.1.0/24 lookup TB3
30060:  from all lookup main
30070:  from all lookup default

Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene
main.

Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta...



El 06/09/12 13:04, Juan Antonio escribió:
 El 06/09/12 13:00, Francisco J. Bejarano escribió:
 30015:  from 10.0.2.226 lookup TB3
 ¿y si quitas esta llega a TB2 o a main?






-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50488c13.3060...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Marc Olive 
On Thursday 06 September 2012 13:42:11 Francisco J. Bejarano wrote:
 Voy a ponerlo mas claro que puede que sea un lio.
 
 0:  from all lookup local
 30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default
 
 Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
 del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
 Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.

Pero si haces NAT, el campo from de tus paquetes cambian a la IP externa del 
firewall y luego se reenvian.
Yo creo (y puedo equivocarme, por supuesto) que la regla deberia ser:

30009:  from ip_externa_2 fwmark 0x2 lookup TB2
30010:  from ip_externa_1 fwmark 0x1 lookup TB1

Es decir:

# ip rule add from ip_externa_1 table TB1
# ip rule add from ip_externa_2 table TB2

10.0.1.0/24 y 10.0.2.0/24 són las IPs internas.

-- 

Marc Olivé
Blau Advisors

www.blauadvisors.com  


signature.asc
Description: This is a digitally signed message part.

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 13:58, Marc Olive escribió:
 On Thursday 06 September 2012 13:42:11 Francisco J. Bejarano wrote:
 Voy a ponerlo mas claro que puede que sea un lio.

 0:  from all lookup local
 30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
 del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
 Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.
 Pero si haces NAT, el campo from de tus paquetes cambian a la IP externa del 
 firewall y luego se reenvian.
 Yo creo (y puedo equivocarme, por supuesto) que la regla deberia ser:

 30009:  from ip_externa_2 fwmark 0x2 lookup TB2
 30010:  from ip_externa_1 fwmark 0x1 lookup TB1

 Es decir:

 # ip rule add from ip_externa_1 table TB1
 # ip rule add from ip_externa_2 table TB2

 10.0.1.0/24 y 10.0.2.0/24 són las IPs internas.


si hace nat del source es en postrouting, cuando el tráfico pasa por el
proceso de encaminamiento aun lleva el source original.

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048993c.1070...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 13:42, Francisco J. Bejarano escribió:
 Voy a ponerlo mas claro que puede que sea un lio.

 0:  from all lookup local
 30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
 del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
 Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.

 0:  from all lookup local
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Quito el marcado y sigue yendo a TB3 por ambos puertos.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 He quitado lo especifico a mi direccion y sigue yendo por TB3 como
 corresponde a la regla 30040.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene
 main.

 Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta...



 El 06/09/12 13:04, Juan Antonio escribió:
 El 06/09/12 13:00, Francisco J. Bejarano escribió:
 30015:  from 10.0.2.226 lookup TB3
 ¿y si quitas esta llega a TB2 o a main?






con toda la configuración, si haces un

ip ro get ip_que_sea from 10.0.2.xx iif ethx mark 0x2

donde el ethx se corresponde con la red 10.0.2.0 ¿qué te dice? ¿a qué
tabla te lo manda?

Prueba también a meter una LOG de iptables en filter forward o mangle
forward a ver como llegan ahí los paquetes, filtra por icmp por ejemplo
para depurar con ping y te ahorras un montón de morralla.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50489ad1.6020...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
El 06/09/12 14:45, Juan Antonio escribió:
 El 06/09/12 13:42, Francisco J. Bejarano escribió:
 Voy a ponerlo mas claro que puede que sea un lio.

 0:  from all lookup local
 30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
 del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
 Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.

 0:  from all lookup local
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Quito el marcado y sigue yendo a TB3 por ambos puertos.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 He quitado lo especifico a mi direccion y sigue yendo por TB3 como
 corresponde a la regla 30040.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene
 main.

 Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta...



 El 06/09/12 13:04, Juan Antonio escribió:
 El 06/09/12 13:00, Francisco J. Bejarano escribió:
 30015:  from 10.0.2.226 lookup TB3
 ¿y si quitas esta llega a TB2 o a main?




 con toda la configuración, si haces un

 ip ro get ip_que_sea from 10.0.2.xx iif ethx mark 0x2

 donde el ethx se corresponde con la red 10.0.2.0 ¿qué te dice? ¿a qué
 tabla te lo manda?

 Prueba también a meter una LOG de iptables en filter forward o mangle
 forward a ver como llegan ahí los paquetes, filtra por icmp por ejemplo
 para depurar con ping y te ahorras un montón de morralla.


No me funciona la opcion mark de iproute2, no esta esa opcion. He visto
que el soporte mark es a partir del nucleo 2.6.36 parece ser. Yo tengo
el nucleo de debian el 2.6.32.5.

Estoy haciendo pruebas con las reglas y mi host a ver que saco en claro,
luego lo escribo. Por cierto que.

para hacer el trazado de rutas con puertos específicos uso el siguiente
comando desde el PC que inicia la comunicación (10.0.2.226) siguiente,
por si alguien quiere usarlo para sus pruebas en sus redes.

sudo nmap -sS -p PuertodeDestino -Pn --traceroute --dns-server
IPdelDNS nombrededominiodestino

Ejemplo: sudo nmap -sS -p 443 -Pn --traceroute --dns-server 10.0.0.100
www.google.es

Da un trazado desde 10.0.2.226 hasta www.google.es usando el puerto de
destino 443 y el DNS interno 10.0.0.100. Cambiando el puerto de destino
trazara un camino u otro dependiendo de las rutas que tengais. Bastante
util.

-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048b2bb.2090...@openknowledgenetwork.com

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Francisco J. Bejarano 
Acabo de añadir las regla siguientes para mi host con la configuracion
inicial. La regla 30020 es el apaño que tengo para que la red 2 salga
temporalmente por algun sitio y no se sature todo saliendo por el main (TB1)

0:  from all lookup local
*30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
*30015:  from 10.0.2.226 fwmark 0x2 lookup TB3** *
*30016:  from 10.0.2.226 lookup TB3
**30019:  from 10.0.2.0/24 lookup TB2*
*30040:  from 10.0.2.0/24 lookup TB3*

Con esto trazo al puerto 22 y al 80 y voy a traves de TB3 en ambos
cuando debería ir a traves de TB1 en el 22 que es mas prioritaria la regla.

Quito la regla 30016

0:  from all lookup local
*30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
*30015:  from 10.0.2.226 fwmark 0x2 lookup TB3**
***30019:  from 10.0.2.0/24 lookup TB2* *
**30040:  from 10.0.2.0/24 lookup TB3**

Trazo al 22 y al 80  y salgo por TB2 en ambos casos. Es decir con el 22
puede estar usando la regla 30014 o la 30019 pero con el puerto 80 solo
puede estar usando la regla 30019.

Quito las reglas sin marca de la red 30019 y la 30040

0:  from all lookup local
*30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
*30015:  from 10.0.2.226 fwmark 0x2 lookup TB3***

Trazo ambos puertos: Y aqui veo que el 22 va por TB2 y el 80 por main
(TB1) ... vaya vaya. Parece como si las reglas que son mas generales o
globales con una red tuvieran mas prioridad que las reglas mas
especificas (con un host con marcado) a pesar de ser mas
prioritarias...  En este caso el marcado lo ha enviado correctamente
pero pongo al principio una regla general de marcado y

0:  from all lookup local
*30012:  from all fwmark 0x2 lookup TB3*
*30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
*30015:  from 10.0.2.226 fwmark 0x2 lookup TB3***

Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
funciona esto. Se supone que los numeros de prioridad son para algo...
alguna sugerencia? a mi ya me duele la cabeza...


El 06/09/12 13:42, Francisco J. Bejarano escribió:
 Voy a ponerlo mas claro que puede que sea un lio.

 0:  from all lookup local
 30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
 del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
 Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.

 0:  from all lookup local
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Quito el marcado y sigue yendo a TB3 por ambos puertos.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 He quitado lo especifico a mi direccion y sigue yendo por TB3 como
 corresponde a la regla 30040.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene
 main.

 Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta...



 El 06/09/12 13:04, Juan Antonio escribió:
 El 06/09/12 13:00, Francisco J. Bejarano escribió:
 30015:  from 10.0.2.226 lookup TB3
 ¿y si quitas esta llega a TB2 o a main?







-- 
-
Francisco J. Bejarano
Responsable de Sistemas
Dpt. Sistemas e Infraestructuras
Open Knowledge Network S.L.
francisco.bejar...@openknowledgenetwork.com
Tel. (+34) 902 534 004
Fax. (+34) 917 266 476
-

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 17:39, Francisco J. Bejarano escribió:
 Acabo de añadir las regla siguientes para mi host con la configuracion
 inicial. La regla 30020 es el apaño que tengo para que la red 2 salga
 temporalmente por algun sitio y no se sature todo saliendo por el main
 (TB1)

 0:  from all lookup local
 *30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
 ***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
 *30015:  from 10.0.2.226 fwmark 0x2 lookup TB3** *
 *30016:  from 10.0.2.226 lookup TB3
 **30019:  from 10.0.2.0/24 lookup TB2*
 *30040:  from 10.0.2.0/24 lookup TB3*

 Con esto trazo al puerto 22 y al 80 y voy a traves de TB3 en ambos
 cuando debería ir a traves de TB1 en el 22 que es mas prioritaria la
 regla.

 Quito la regla 30016

 0:  from all lookup local
 *30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
 ***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
 *30015:  from 10.0.2.226 fwmark 0x2 lookup TB3**
 ***30019:  from 10.0.2.0/24 lookup TB2* *
 **30040:  from 10.0.2.0/24 lookup TB3**

 Trazo al 22 y al 80  y salgo por TB2 en ambos casos. Es decir con el
 22 puede estar usando la regla 30014 o la 30019 pero con el puerto 80
 solo puede estar usando la regla 30019.

 Quito las reglas sin marca de la red 30019 y la 30040

 0:  from all lookup local
 *30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
 ***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
 *30015:  from 10.0.2.226 fwmark 0x2 lookup TB3***

 Trazo ambos puertos: Y aqui veo que el 22 va por TB2 y el 80 por main
 (TB1) ... vaya vaya. Parece como si las reglas que son mas generales o
 globales con una red tuvieran mas prioridad que las reglas mas
 especificas (con un host con marcado) a pesar de ser mas
 prioritarias...  En este caso el marcado lo ha enviado correctamente
 pero pongo al principio una regla general de marcado y

 0:  from all lookup local
 *30012:  from all fwmark 0x2 lookup TB3*
 *30013:  from 10.0.2.226 fwmark 0x2 lookup TB1
 ***30014:  from 10.0.2.226 fwmark 0x2 lookup TB2
 *30015:  from 10.0.2.226 fwmark 0x2 lookup TB3***

 Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
 funciona esto. Se supone que los numeros de prioridad son para algo...
 alguna sugerencia? a mi ya me duele la cabeza...


 El 06/09/12 13:42, Francisco J. Bejarano escribió:
 Voy a ponerlo mas claro que puede que sea un lio.

 0:  from all lookup local
 30009:  from 10.0.2.226 fwmark 0x2 lookup TB2
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Con la anterior configuracion mi direccion 10.0.2.226 va a TB3.  Pasa
 del marcado. Tanto con destino al puerto 22 como al puerto 80 usan TB3.
 Si funcionara deberia ir al puerto 22 por TB2 y al 80 por TB3.

 0:  from all lookup local
 30010:  from 10.0.2.226 lookup TB3
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Quito el marcado y sigue yendo a TB3 por ambos puertos.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30040:  from 10.0.2.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 He quitado lo especifico a mi direccion y sigue yendo por TB3 como
 corresponde a la regla 30040.

 0:  from all lookup local
 30030:  from 10.0.1.0/24 lookup TB3
 30060:  from all lookup main
 30070:  from all lookup default

 Si quito la regla 30040 me manda por TB1 que es la que por defecto tiene
 main.

 Es decir, está funcionando todo pero en cuanto pones fwmark se lo salta...



 El 06/09/12 13:04, Juan Antonio escribió:
 El 06/09/12 13:00, Francisco J. Bejarano escribió:
 30015:  from 10.0.2.226 lookup TB3
 ¿y si quitas esta llega a TB2 o a main?






 -- 
 -
 Francisco J. Bejarano
 Responsable de Sistemas
 Dpt. Sistemas e Infraestructuras
 Open Knowledge Network S.L.
 francisco.bejar...@openknowledgenetwork.com
 Tel. (+34) 902 534 004
 Fax. (+34) 917 266 476
 -


pues de momento, y para salir del paso, yo lo marcaría todo. Es decir

iptables -t mangle -I PREROUTING -s 10.0.2.0/24 -p tcp --dport ! 22 -j
mark --set-mark 0x1
iptables -t mangle -I PREROUTING -s 10.0.2.0/24 -p tcp --dport 22 -j
mark --set-mark 0x11
etc ...

habría que hacerlo asi (negando con !) porque en mangle una coincidencia
no detiene el proceso.

Despues usa rules solo con fwmarks.

Se que no es lo mas bonito ni lo mas óptimo, pero como te he dicho, para
salir del paso ...

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-06 Por tema Juan Antonio 
El 06/09/12 17:39, Francisco J. Bejarano escribió:
 Trazo los puertos y se salta la regla 30012, en fin, no entiendo como
 funciona esto. Se supone que los numeros de prioridad son para algo...
 alguna sugerencia? a mi ya me duele la cabeza...
algunas pruebas que he hecho.

[root@blackpearl ~]# ip ru ls
0:from all lookup local
100:from 192.168.12.35 fwmark 0x1 lookup t1
101:from 192.168.12.35 lookup t2
32766:from all lookup main
32767:from all lookup default

[root@blackpearl ~]# iptables -t mangle -vnL PREROUTING
Chain PREROUTING (policy ACCEPT 185K packets, 116M bytes)
 pkts bytes target prot opt in out source  
destination
0 0 MARK   tcp  --  *  *   192.168.12.35   
0.0.0.0/0tcp dpt:25 MARK set 0x1

root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
192.168.12.91
cache src-direct,redirect  iif eth0
[root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
mark 0x1
157.55.43.16 from 192.168.12.35 via 172.16.0.1 dev tap1  src
192.168.12.91  mark 1
cache src-direct  iif eth0

todo correcto hasta aqui. cambiamos la prioridad

[root@blackpearl ~]# ip ru del from 192.168.12.35 lookup t2
[root@blackpearl ~]# ip ru add from 192.168.12.35 priority 99 table t2
[root@blackpearl ~]# ip ro get 157.55.43.16 from 192.168.12.35 iif eth0
mark 0x1
157.55.43.16 from 192.168.12.35 via 192.168.12.100 dev eth0  src
192.168.12.91  mark 1
cache src-direct,redirect  iif eth0


y hasta aqui también.

[root@blackpearl ~]# uname -r
3.4.9-1-ARCH



-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048cec4.6040...@limbo.deathwing.net

Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-05 Por tema Francisco J. Bejarano 
Hola

Tengo un problema con iptables y reglas de enrutamiento (iproute2 (ip
rule)). Expongo mi caso:

Actualicé de Debian 4 a Debian 6.0.5 con los pasos intermedios, de 4 a 5
y de 5 a 6. En debian 4 todo funcionaba okpero en Debian 6.0.5 ha dejado
de funcionar la parte de enrutado de los paquetes marcados.

Tengo tres tablas de enrutamiento TB1, TB2 y TB3. Estas tablas tienen
rutas por defecto através de adsl1, adsl2 y adsl3 respectivamente. Las
tablas de enrutamiento y las rutas están funcionando correctamente sin
marcado.

El servidor de seguridad (máquina) funciona como un router para cinco
redes diferentes con 5 interfaces eth diferentes. eth1 (red1), eth2
(red2), eth3 (adsl3), eth4 (da acceso aadsl1 y adsl2)

Necesito que el tráfico que pasa a través del servidor (forward) de la
red1 pase por el adsl1 (TB1) si el puerto de destino es el 22 o 500, por
ejemplo, pero si el puerto de destino es otro que vaya a adsl3 (TB3).

Necesito que el tráfico que pasa a través del servidor (forward) de la
red2 pase por el adsl2 (TB2) si el puerto de destino es el 22 o 500, por
ejemplo, pero si el puerto de destino es otro que vaya a adsl3 (TB3).

He creado algunas reglas en el cortafuegos dentro de la tabla mangle y
cadena PREROUTING para marcar los paquetes  antes de la decisión de
enrutamiento.

# Red2 marcado con 2
iptables -t mangle -A PREROUTING -s 10.0.2.0/255.255.255.0 -p tcp -m tcp
--dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2
iptables -t mangle -A PREROUTING -s 10.0.2.0/255.255.255.0 -p udp -m udp
-m multiport --dports 500,4500 -m state --state
NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2
iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p tcp -m tcp
--dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2
iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p udp -m udp -m
multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED
-j MARK --set-mark 0x2

# El resto de paquetes (red1 incluido) marcado con 1
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 22 -m state
--state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1
iptables -t mangle -A PREROUTING -p udp -m udp -m multiport --dports
500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1
iptables -t mangle -A OUTPUT -p tcp -m tcp --dport 22 -m state --state
NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1
iptables -t mangle -A OUTPUT -p udp -m udp -m multiport --dports
500,4500 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x1

He creado las reglas en la tabla nat

iptables -t nat -A POSTROUTING -o -j MASQUERADE eth4
iptables -t nat -A POSTROUTING -o -j MASQUERADE eth3

Ok. Tengo algunas reglas de ruteo que son las que envían paquetes por
uno u otro lugar dependiendo del marcado.

# ip rule
0: from all lookup local,
30010: from all lookup fwmark 0x2 TB2
30020: from all lookup fwmark 0x1 TB1
30030: from 10.0.2.0/24 lookup TB3
30040: from 10.0.1.0/24 lookup TB3
30060: from all lookup main
30070: from all lookup default

Ok. ¿Alguien sabe lo que puedo estar haciendo mal? ¿Ha cambiado la forma
marcado en el firewall iptables o de crear las reglas de ruteo?

Registro los paquetes en el registro de sistema que se marcan con 1 o 2
y en el log se muestran. Existe tráfico que se marca con 1 y 2, pero
después, el tráfico no se envía a las tablas de enrutamiento correctas.
¿Es un bug de ip rule (iproute2) o algo así? Muestra del log

Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2

Por favor, necesito ayuda con este problema. Toda mi red de trabajo está
en una estado degradado ya que he de enviar trafico por diferentes rutas
para que no se saturen las lineas y este depende del puerto al que se
accede. Ya no sé que más ver para resolver este problema.

Gracias de antemano y un saludo


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-05 Por tema Marc Olive 
On Wednesday 05 September 2012 16:13:44 Francisco J. Bejarano wrote:
 Hola
 
 Tengo un problema con iptables y reglas de enrutamiento (iproute2 (ip
 rule)). Expongo mi caso:
 
 Actualicé de Debian 4 a Debian 6.0.5 con los pasos intermedios, de 4 a 5
 y de 5 a 6. En debian 4 todo funcionaba okpero en Debian 6.0.5 ha dejado
 de funcionar la parte de enrutado de los paquetes marcados.

Uoou! Menuda actualización, y felicidades por tu osadia y haberlo logrado 
(casi del todo).

[..]

 # ip rule
 0: from all lookup local,
 30010: from all lookup fwmark 0x2 TB2
 30020: from all lookup fwmark 0x1 TB1
 30030: from 10.0.2.0/24 lookup TB3
 30040: from 10.0.1.0/24 lookup TB3
 30060: from all lookup main
 30070: from all lookup default
 
 Ok. ¿Alguien sabe lo que puedo estar haciendo mal? ¿Ha cambiado la forma
 marcado en el firewall iptables o de crear las reglas de ruteo?

Tengo montado algo parecido, e ip rule me muestra esa información con otro 
orden, primero la marca y luego la tabla de enrutamiento, además, el campo 
from contiene específicamente la IP de la interfície, no de la red. Como 
hace NAT, la IP de orígen del paquete cambia por la IP de la ethernet que hace 
NAT.
He adaptado un poco mi salida para que concuerde mas con tu configuración:

# ip rule
0:  from all lookup local 
32761:  from all fwmark 0x2 lookup TB2 
32762:  from all fwmark 0x1 lookup TB1 
32763:  from 10.0.2.2 lookup TB2 
32764:  from 10.0.2.1 lookup TB1 
32766:  from all lookup main 
32767:  from all lookup default 

Aquí, las dos IPs 10.0.2.x són las IPs externas del firewall, las que envian 
los paquetes hacia las adsl, en tu salida aparece un rango de IPs, y sospecho 
que són las IPs internas de la red.

Tengo las rutas en un script bash dentro un loop que recorre todas las 
ethernets e ips que hay conectadas, por si te sirve, la líniea es:

ip rule add from ${EXTIPs[n]} table TB$((n+1))

Donde EXTIP es un array con las IPs de la ethernets externas, y n es el 
contador del loop. Una vez haciendo el loop, quedaria:

ip rule add from 10.0.2.2 table TB2
ip rule add from 10.0.2.1 table TB1

Las tablas de enrutamiento deben definirse también en /etc/iproute2/rt_tables, 
no comentas nada sobre este archivo en tu correo y desconozco si estan o no. 
En ese archivo, después de las reserved values deberia haber algo como:

11  TB1
12  TB2

 Registro los paquetes en el registro de sistema que se marcan con 1 o 2
 y en el log se muestran. Existe tráfico que se marca con 1 y 2, pero
 después, el tráfico no se envía a las tablas de enrutamiento correctas.
 ¿Es un bug de ip rule (iproute2) o algo así? Muestra del log
 
 Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
 Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
 MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
 DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
 SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
 Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
 Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
 MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
 DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
 SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2

Como los paquetes se marcan correctamente, he omitido por completo la parte de 
iptables, no parece ser el problema. Las he mirado por encima y me han 
parecido correctas.

 Por favor, necesito ayuda con este problema. Toda mi red de trabajo está
 en una estado degradado ya que he de enviar trafico por diferentes rutas
 para que no se saturen las lineas y este depende del puerto al que se
 accede. Ya no sé que más ver para resolver este problema.

Conozco perfectamente esta sensación ;-)
No desesperes, ánimos!

 Gracias de antemano y un saludo

-- 

Marc Olivé
Blau Advisors

www.blauadvisors.com  


signature.asc
Description: This is a digitally signed message part.

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-05 Por tema Marc Olive 
On Wednesday 05 September 2012 18:48:02 Marc Olive wrote:

 # ip rule
 0:  from all lookup local
 32761:  from all fwmark 0x2 lookup TB2
 32762:  from all fwmark 0x1 lookup TB1
 32763:  from 10.0.2.2 lookup TB2
 32764:  from 10.0.2.1 lookup TB1
 32766:  from all lookup main
 32767:  from all lookup default

Uy! Al cambiar las IPs las he metido en la misma red :P
Deberian ser 10.0.2.1 y 10.0.1.1

-- 

Marc Olivé
Blau Advisors

www.blauadvisors.com  


signature.asc
Description: This is a digitally signed message part.

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-05 Por tema Juan Antonio 

On 05/09/12 16:13, Francisco J. Bejarano wrote:

iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p tcp -m tcp
--dport 22 -m state --state NEW, RELATED, ESTABLISHED -j MARK --set-mark 0x2
iptables -t mangle -A OUTPUT -s 10.0.2.0/255.255.255.0 -p udp -m udp -m
multiport --dports 500,4500 -m state --state NEW, RELATED, ESTABLISHED
-j MARK --set-mark 0x2
estas cadenas no tienen sentido, eso es postrouted y por lo tanto las 
marcas ya no te sirven.  También puedes simplificar mucho las reglas 
quitando el --state ya que es para todo el tráfico y aunque no solucione 
nada estarán mas claras.


Por otra parte, tienes rules de ip que coinciden con las redes from 
10.0.2.0/24 lookup TB3 que puede que tengan preferencia sobre las 
marcas, habría que mirarlo en la documentación, podría ser significativo 
si el tráfico que has marcado para salir por TB2 sale por TB3 o por la 
tabla main.


Un saludo.







--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50466da0.7000...@limbo.deathwing.net

Re: Ayuda Urgente: Iptables e ip rule no funcionan correctamente en debian 6?

2012-09-05 Por tema Juan Antonio 

On 05/09/12 16:13, Francisco J. Bejarano wrote:

Sep  5 15:24:55 firewall kernel: [1883719.204551] fwmark 1: IN=eth1 OUT=
MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1436 DF PROTO=TCP
SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK FIN URGP=0 MARK=0x1
Sep  5 15:24:55 firewall kernel: [1883719.205085] fwmark 1: IN=eth1 OUT=
MAC=00:18:8b:f9:f3:34:00:24:8c:de:c8:fb:08:00 SRC=10.0.1.153
DST=10.0.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=1437 DF PROTO=TCP
SPT=57856 DPT=22 WINDOW=16323 RES=0x00 ACK URGP=0 MARK=0x1
Sep  5 15:25:20 firewall kernel: [1883744.276724] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
DST=10.0.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=8254 DF PROTO=TCP
SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK URGP=0 MARK=0x2
Sep  5 15:25:20 firewall kernel: [1883744.280404] fwmark 2: IN=eth2 OUT=
MAC=00:0d:88:c5:ba:53:20:cf:33:d3:a6:d5:08:00 SRC=10.0.2.226
DST=10.0.2.1 LEN=100 TOS=0x00 PREC=0x00 TTL=64 ID=8255 DF PROTO=TCP
SPT=52845 DPT=22 WINDOW=2641 RES=0x00 ACK PSH URGP=0 MARK=0x2
mmm, a propósito, las direcciones 10.0.2.1 y 10.0.1.1 ¿son las que tiene 
configuradas la pasarela? fíjate que no se especifica ningún interfaz 
en  OUT = y de hecho ese tráfico no tiene que llegar a ninguna tabla 
porque es local ¿tienes tráfico en el log marcado que no sea para el 
propio router? ¿por dónde sale el tráfico que no sale por donde debería?


Un saludo.


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50467050.4020...@limbo.deathwing.net