Portál AbcLinuxu, 13. května 2025 20:07

Dotaz: Problem s prekladem udp provozu - shorewall

19.11.2009 10:38 Mirekh
Problem s prekladem udp provozu - shorewall
Přečteno: 143×
Odpovědět | Admin
Zdravim,

prosim o pomoc s shorewall

Na vzdalene lokalite je debian etch (bezi tam uz 1,5 roku) jako router, firewall (vcetne prekladu) je ralizovan pomoci shorewall. Od predvcerejska mam ale problem s urcitym typem komunikace. Jedine co vim je ze v ten den doslo k vypadku proudu.

Na routeru mam tri rozhrani: eth0 - vnejsi (verejna adresa)

eth1 - vnitrni (192.168.40.254/24)

eth2 - vnitrni (192.168.74.254/24)

tun3 - vpn sestavena pomoci openvpn proti centralne

shorewall je nastaven takto

/etc/shorewall/masq

eth0 eth1

eth0 eth2

- cili podle tohoto by se mel pouze prekladat provoz jdouci ze siti 192.168.40.0 192.168.74.0 pres eth0 na verejnou adresu rozhrani. A to se deje - v poradku.

Problem je ten, ze kdyz sitove zarizeni s adresou 192.168.74.251 komunikuje se zarizenim s adresou 192.168.70.10 (sit 192.168.70.0/24 je dostupna pres tun3), router nesmyslne prelozi zdrojovou adresu 192.168.74.251 na verejnou adresu eth0 a posle ho do tun3. Takze sice na rozhrani eth2 vidim prichazet paket se zdrojem 192.168.74.251 a cilem 192.168.70.10 ale do rozhrani tun3 (do vpn) leze paket se zdrojem "verejna IP eth0" a cilem 192.168.70.10.

Takovy paket sice doputuje k 2. zarizeni s IP 192.168.70.10, ale toto zarizeni pak samozrejme odpovida na adresu verejnou misto na adresu 192.168.74.251.

Fakt nevim kde je problem. Navic takto se to chova v pripade UDP provozu, tcp provoz funguje v poradku - zevnitr centraly se dostanu na zarizeni pres http a adresu 192.168.74.251 uplne v pohode.

Muzete mi poradit ? - zkousel jsem shorewall na dalku restartovat, ale to nepomohlo.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

19.11.2009 11:06 NN
Rozbalit Rozbalit vše Re: Problem s prekladem udp provozu - shorewall
Odpovědět | | Sbalit | Link | Blokovat | Admin 
"router nesmyslne prelozi zdrojovou adresu 192.168.74.251 na verejnou adresu eth0 a posle ho do tun3"
To by, ale podle routovaci tabulky prece vubec nemel a z verejneho interfacu by vubec nemel forwardovat na tun3. Mas na firewallu nejaka pravidla tykajici se UDP?

NN
19.11.2009 12:33 Mirekh
Rozbalit Rozbalit vše Re: Problem s prekladem udp provozu - shorewall
Kus pravidel (tykajice se udp) vypadat takto

ACCEPT loc fw udp 123

ACCEPT:info vpn3:192.168.70.0/24,192.168.71.0/24,192.168.73.0/24 srv icmp

ACCEPT:info vpn3:192.168.1.1,192.168.1.2,192.168.1.3,192.168.1.20,192.168.1.21,192.168.1.22,192.168.1.210,172.17.0.1 srv icmp

ACCEPT:info vpn3:192.168.70.0/24,192.168.71.0/24,192.168.73.0/24 srv tcp

ACCEPT:info vpn3:192.168.1.1,192.168.1.2,192.168.1.3,192.168.1.20,192.168.1.21,192.168.1.22,192.168.1.210,172.17.0.1 srv tcp

ACCEPT:info vpn3:192.168.70.0/24,192.168.71.0/24,192.168.73.0/24 srv udp

ACCEPT:info vpn3:192.168.1.1,192.168.1.2,192.168.1.3,192.168.1.20,192.168.1.21,192.168.1.22,192.168.1.210,172.17.0.1 srv udp

ACCEPT:info srv vpn3:192.168.70.0/24,192.168.71.0/24,192.168.73.0/24,192.168.1.210 icmp

ACCEPT:info srv vpn3:192.168.70.0/24,192.168.71.0/24,192.168.73.0/24,192.168.1.210,192.168.1.2 tcp

ACCEPT:info srv vpn3:192.168.70.0/24,192.168.71.0/24,192.168.73.0/24,192.168.1.210,192.168.1.2 udp

- ve smerovani problem neni (asi) 192.168.70.0 172.17.0.1 255.255.255.0 UG 0 0 0 tun3 192.168.74.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 0.0.0.0 xx.xx.xx.xx 0.0.0.0 UG 0 0 0 eth0

- proste router posle paket pro 192.168.70.10 do tun3(vpn3) ale soucasne zdrojovou adresu prelozi - nevim zkratka proc, navic kdyz to celou dobu fungovalo

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.