Portál AbcLinuxu, 12. května 2025 15:43

Dotaz: iptables + presmerovanie portu -> pomale ssh

26.11.2010 17:58 stewe
iptables + presmerovanie portu -> pomale ssh
Přečteno: 203×
Odpovědět | Admin
zdravim,

predstavte si prosim nasledovnu sietovu situaciu: [pc1]---[pc2[pc3]]

Pc3 je virutalizovane (debian, xen). Na pc3 bezi sshd. Pristup z pc1 cez ssh na pc3 ma byt mozny len na porte 2222, na porte 22 pristup z tejto ip odmietne. Avsak z pc2 ma byt na pc3 pripojenie cez port 22 mozne. Firewall sa ma nastavit na pc2. S pc3 sa nema robit nic. Sietova adresa pc1 je 10.0.0.1, sietova vonkajsia pc2 10.0.0.80, vnutrona 10.0.80.1, vonkajsia pc3 10.0.80.2 Spravil som nasledovne v iptables na pc2: 
iptables -t mangle -A PREROUTING -p tcp -s 10.0.0.1 -d 10.0.80.2 --dport 2222 -j MARK --set-mark 2222
iptables -t nat -A PREROUTING -m mark -p tcp -s 10.0.0.1 -d 10.0.80.2 --mark 2222 -j DNAT --to-destination 10.0.80.2:22
iptables -A FORWARD -m mark -p tcp -s 10.0.0.1 -d 10.0.80.2 --dport 22 ! --mark 2222 -j DROP
Funguje to, problem ale je, ze teraz prihlasenie z pc2 na pc3 cez port 22 trva dost dlho, po viac nasobnom merani cca 5 sekund, pred tym to slo okamzite. Neviete poradit, kde by mohol byt problem a preco sa to vlastne spomaluje? Existuje nejaka ina technika, ktora by mala ten isty efekt?

Dakujem za napady

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

26.11.2010 18:36 NN
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh
Odpovědět | | Sbalit | Link | Blokovat | Admin
Co takhle: 
iptables -t nat -A PREROUTING -p tcp -s 10.0.0.1 -d 10.0.80.2 -dport 2222 -j DNAT --to-destination 10.0.80.2:22
iptables -A FORWARD -p tcp -s 10.0.0.1 -d 10.0.80.2 -dport 22 -j DROP
nicmene to nemenni na faktu ze s provozem z pc2 na pc3 to nema nic spolecneho..

NN
26.11.2010 18:43 stewe
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh
kedze prerouting sa vykona pred forward-om, tak ked to takto dnatujes v prvom pravidle, tak v druhom sa ten packet zahodi nie?
26.11.2010 18:52 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh
Odpovědět | | Sbalit | Link | Blokovat | Admin
Funguje vám tam DNS? Nepokouší se server překládat IP adresu klienta na název, a nečeká se na DNS timeout? I když to by asi trvalo déle, než 5 sekund.
26.11.2010 19:03 stewe
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh
dns server mi bezi na 10.0.0.80, na fyzickom stroji, dopredna aj reverzna zona sa resolvuje okamzite (cez dig prip. nslookup)

nemoze to mat nieco spolocne s ipv6? z fyzickeho na virtualny stroj je spraveny 6to4 tunel. ale podla mna to s tym nema vobec nic spolocne, to by robilo aj pre zavedenim tych pravidiel (ak vobec) kedze aj firewall sa musi robit pre ipv6 zvlast ... ipv6 a dns teda vylucujem.
26.11.2010 19:19 stewe
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh
vyriesil som to, chyba bola uplne niekde inde, cez tcpdump som zistil, ze ssh na 10.0.80.2 sa snazi autentizovat voci kerberosovi na 10.0.0.80, mal som to nastavene v sshd_configu na 10.0.80.2 ...

v kazdom pripade dakujem za ochotu

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.