Portál AbcLinuxu, 10. května 2025 08:57

Dotaz: IP Tables pomoc...

18.3.2011 17:09 Tomas B
IP Tables pomoc...
Přečteno: 467×
Odpovědět | Admin
Dobry den odbornici,

potrebujem pomoct s mojim problemom ohladom prikazov iptables. Tu je popis:

1.2.3.4 - server1

2.3.4.5 - server2

Na serveri 1 bezi aplikacia na ktoru sa pripajaju klienti prostrednictvom servera2. Na nom mam nastavene iptables tak aby redirectoval komunikaciu na server1.

iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 1.2.3.4:10000-20000

problem je v tom ze na serveri1 potrebujem vidiet originalnu IP adresu pripajajucich sa klientov ale vidim iba IP adresu servera2.

To co chcem docielit je ochrana IP adresy servera1. Mozno na to idem uplne zle, preto Vas, odbornikov ziadam aby ste sa mi na to pozreli a poradili mi ako na to.

Dakujem

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

18.3.2011 18:00 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Odpovědět | | Sbalit | Link | Blokovat | Admin
Uvedeným příkazem komunikaci nikam nepřesměrováváte, ale jako zdrojovou IP adresu uvádíte adresu 1.2.3.4. Tohle pravidlo vůbec neodpovídá tomu, co jste popsal v dotazu – pokud byste měl na firewallu serveru2 tohle pravidlo a uplatňovalo se, komunikace určitě nebude fungovat.

Nevím, čemu říkáte „ochrana IP adresy“. Nejlepší by bylo, aby klienti komunikovali přímo se serverem1, není důvod dávat tam nějaký mezikrok s přepisem adres.
18.3.2011 19:39 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Dakujem za rychlu odpoved,

viem ze prikaz nie je taky aky potrebujem preto Vas tu ziadam o pomoc. Nechcem aby klienti komunikovali priamo so serverom1 ale tak ako som popisal v uvode. Mozno uplatnenie prikazov iptables nie je vhodne pre to, co ja potrebujem.

Proste chcem aby klienti videli iba server2 a cela komunikacia by bola presmerovana na server1 tak aby server1 videl originalnu IP adresu klienta.

O dovodoch sa tu zmienovat nechcem ale je jasne ze to je kvoli bezpecnosti serveru.

Dakujem za odpovede

Tomas
18.3.2011 19:49 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Když nevíme, jak ta síť vypadá a proč to tak má být nastavené, těžko vám můžeme poradit něco, co bude fungovat. Podle mne je nejjednodušší v klientech nastavit přímo IP adresu (resp. odpovídající DNS název) serveru, a pokud chcete server nějak síťově chránit, dejte před něj firewall.
18.3.2011 22:25 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
ved mate vsetky potrebne informacie ktore je treba - oba servery su ubuntu 10.10, a preco to tak chcem mat nastavene to vam tu skutocne nechcem vysvetlovat. mozno je lepsie povedat "neviem" ako menit moj model na vas model ktory je pre mna ale nevyhovujuci.
cynic_asshole avatar 18.3.2011 23:21 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: IP Tables pomoc...
IMO není možné. Klient bude komunikovat se server2, ale zpět k němu přijdou data z server1. Jenže klient navazoval spojení se server2 a tak příchozí data ze server1 zahodí (asymetrický routing). Tobě by mohla pomoct snad aplikační proxy, která by aplikaci na server1 předávala nějakým způsobem i klientskou adresu (obdoba hlavičky X-Forwarded-For z http proxy serveru)
Neznáš nějakou linuxovou distribuci pro Windows?
19.3.2011 00:04 MMichal | skóre: 21
Rozbalit Rozbalit vše Re: IP Tables pomoc...
A kdyby server1 mel nastavenou default GW na server2, nebo pripadne staticky routing dle IP adres/rozsahu klientu skrze server2, tak server2 by pak mohl delat nejen DNAT pri ceste klient->server, ale i SNAT pri ceste zpet. Neco podobneho kolega implementuje pomoci F5-ky.

Jeste me napada, ze by mohl server1 delat SNAT pro odchozi na dane klienty (ale to asi neni uplne OK)

Michal
cynic_asshole avatar 19.3.2011 00:56 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Co ty F5 vlastně všechno umí? Já mám akorát školení na loadbalancing.
Neznáš nějakou linuxovou distribuci pro Windows?
19.3.2011 01:09 MMichal | skóre: 21
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Ja bohuzel F5 moc neznam. Tohle vychazelo z pozadavku zakaznika, ze chteji v logach na web serverech (umistenych za F5) videt zdrojovou adresu WWW klienta (nikoliv odchozi adresu F5).
pavlix avatar 20.3.2011 02:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Není problém dělat DNAT i SNAT pro stejné pakety, pokud si pomůžeš značkováním.

Stejně tak není problém z inetd pustit netcat, který pak funguje jako univerzální tcp nebo udp proxy.

Obojí funguje.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
19.3.2011 00:41 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...

Pokud opravdu chcete užitečnou odpověď, tak místo podobných podrážděných reakcí raději pořádně popište situaci a to, čeho chcete docílit. Bez toho musejí potenciální odpovídající místo řešení vašeho problému naslepo hádat, co jste asi tak mohl mít na mysli.

Také si uvědomte, že tohle není placený support ale veřejné fórum, kde lidé odpovídají z dobré vůle. Takže je naprosto v pořádku, když na otázku "Jak udělat X?" dostanete odpověď "X nedělejte."

19.3.2011 11:47 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Dakujem vsetkym za odpovede. Myslim ze som svoj problem uz vyssie popisal, ale skusim to este raz.

na serveri (server1) mi bezi aplikacia na ktoru sa pripajaju klienti. server musi vidiet IP adresu klienta nakolko im na zaklade tejto adresu zadava prava. to je implementovane v samotnej aplikacii.

To co ja chcem docielit je, aby klienti nevideli IP adresu servera, preto som dal medzi server a klienta iny server (server2) ktory bude sluzit iba ako fake IP. Ci to budem robit prostrednictvom proxy, redirect,firewallu alebo vpn by som chcel pocut od vas, odbornikov. tento model nemozem zmenit z bezpecnostneho hladiska, musi fungovat tak ako som tu popisal.

nechcem aby klient komunikoval so serverom2 a dostaval odpoved od servera1 ako to tu niekto napisal. ja chcem aby klient komunikoval a dostaval odpovede iba od servera2 a ten musi but prepojeny so serverom1. cele mi to funguje tak ako som to tu popisal pomocou prikazov iptables ale jediny problem je v tej originalnej IP adrese klieta ako som uz pisal vyssie.

Dakujem za postrehy
19.3.2011 12:25 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Pokud mi něco uniká, tak se omlouvám, ale vidím následující požadavky:
  • aplikační server není přímo vidět pro klienty
  • aplikační server musí znát zdrojové IP klientů
tak
  • zapomněl bych na 2 linuxové boxy a koupil jednoúčelový firewall (typ záleží na aplikaci a její důležitosti)
  • aplikační server bych nakonfiguroval s IP v interním rozsahu
  • firewall bych nastavil tak, aby forwardoval povolenou komunikaci na interní IP aplikačního serveru
  • administrace aplikačního serveru může být řešena stejně jako přístupy klientů (+ např. restrikce IP)
Samozřejmě se to dá vylepšovat dle přesnějších požadavků, ale tohle je jako jádro OK. "Ušetřený" stroj můžete použít na HA řešení :-)
19.3.2011 12:43 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...

Pokud je server2 opravdu mezi klienty a server1, pak bude stačit prostý překlad cílové adresy:

  iptables -t nat -A PREROUTING -i $EXTIF -d $server2 -p tcp --dport 80 -j DNAT --to $server1

Protože mám ale podezření, že ve skutečnosti je vaše situace trochu jiná než popisujete, raději si přečtěte tento popis.

Podle míry očekávaného odstínění (a zásahu do komunikace) jsou pak další možností i rinetd nebo squid.

19.3.2011 13:13 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Dakujem za radu, idem to vyskusat a dam vediet ako to dopadlo
19.3.2011 13:25 Cuda
Rozbalit Rozbalit vše Re: IP Tables pomoc...
plně souhlasím, že dle popisu to vypadá na klasický forward. já to mám na OpenWrt WhiteRussian v /etc/firewall.user něco takového:

iptables -t nat -A prerouting_wan -p tcp --dport 20001 -j DNAT --to 192.168.7.223:80

iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.7.223 -j ACCEPT

a funguje to dobře. Ale co vidí končený server za ipadresu nevím, jelikož to k ničemu nepotřebuju
19.3.2011 13:27 Cuda
Rozbalit Rozbalit vše Re: IP Tables pomoc...
pokud nejste ten stejný člověk, který se tu ptal na proxy s openwrt, tak to berte jako nepředmětné, ale nějako mi přijde, že to je hodně podobný dotaz :-), i když je jiný nick.
19.3.2011 13:51 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
pri tomto nastaveni stale nevidim IP adresu klienta
19.3.2011 13:57 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
V tom případě máte v NATu nastavené ještě něco dalšího, protože tenhle příkaz zdrojovou IP adresu nemění. Kdybyste nám to prozradil, bylo by to mnohem jednodušší, než když po nás chcete, abychom to uhodli.
19.3.2011 17:25 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Podstatné informace stále zarputile tajíte, tak nezbývá než hádat… Příliš obecné pravidlo pro maškarádu?
pavlix avatar 20.3.2011 02:54 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Doplním Michala...

Pravděpodobně se snažíte o něco, co TCP/IP síť neumí.

Pokud půjde paket od klienta na server2, klient očekává odpověď od server2. Pokud server2 přepošle jeho požadavek server1, odpoví klientovi server1. Klient takovou odpověď zahodí.

Teď mě napadlo, že by toto šlo napravit na iptables u klienta dalším přepisem adresy.

Ale mám za to, že celá tahle šaškárna je úplně k ničemu.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
19.3.2011 13:59 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Odpověď vzhledem k informacím, které jste nám zatím dal, už jsem vám napsal dvakrát – v klientech nastavit IP adresu serveru, kde běží aplikace, mezi klienty a server dát firewall.
19.3.2011 16:40 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Příloha:
pre lepsie pochopenie som nakreslil obrazok zapojenia.

tak keby Vas nieco napadlo tak cakam na napady.

Dakujem vsetkym
19.3.2011 17:31 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...

Tohle má být použitelný popis situace? Jednak tam máte vymyšlené adresy, takže se můžeme jen dohadovat, jestli jsou adresy "1.1.1.1" a "2.2.2.2" opravdu obě veřejné nebo jestli třeba jedna není z privátního rozsahu nebo také jestli nejsou privátní obě, dokonce je tu pořád ještě možnost, že jsou ve skutečnosti ze stejného rozsahu a týká se vás situace řešená ve zmíněném FAQ. Za druhé ten obrázek vypadá, jako by měl router čtyři rozhraní, zatímco ve skutečnosti má nejspíš jen dvě, adresa "2.2.2.2" je napsaná u dolního rozhraní, zatímco ve skutečnosti ji nejspíš máte na horním…

Dost by také pomohl výpis "iptables -nvL" a "iptables -t nat -nvL", ale pokud možno skutečný, ne v zájmu národní bezpečnosti náhodně popřepisovaný.

19.3.2011 21:13 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Stále platí to, co už jsem napsal několikrát – na klientech nastavit IP adresu serveru na 1.1.1.1, na 2.2.2.2 nastavit firewall. Routování v té síti máte předpokládám nastavené správně.
pavlix avatar 20.3.2011 02:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
ved mate vsetky potrebne informacie ktore je treba - oba servery su ubuntu 10.10, a preco to tak chcem mat nastavene to vam tu skutocne nechcem vysvetlovat. mozno je lepsie povedat "neviem" ako menit moj model na vas model ktory je pre mna ale nevyhovujuci.
Tomáši, tady jste na bezplatné poradně.

Možná je lepší se tady neptat, pokud nechcete dostávat odpovědi s jinými návrhy, jako od pana Jirsáka.

Lidi tady vám budou radit řešení, která jsou z jejich pohledu nejlepší. Já se taky hlásím za skutečnou ochranu daného serveru radši než nějaké obezličky.

A jinak taky existuje příkaz man, kterému dáte jako parametr iptables, a on vám zobrazí celý detailní manuál.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
22.3.2011 20:46 Tom
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Tazateli bych nejprve doporucil mit prehled o tom co se mu v siti hybe jak se mu tam muze co hybat(komunikovat, prenos dat). Pote by bodlo kdyby bud si nasel nekoho komu bude duverovat a s jeho dohledem bez psani hesel v pritomnosti tohoto odbornika ho necha vyresit problem.

Kombinace obycejneho IT uzivatele snaziciho se pracovat na funkci IT admina bez prehledu a znalosti je krute postavena na hlavu.
pavlix avatar 25.3.2011 12:21 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Tak za to bych se postavil taky. Je spousta docela šikovných síťařů, třeba i studentů, kteří by se takové brigádky rádi ujali. A je dost pravděpodobné, že dotyčný někoho takového mezi svými známými má.

Tady je ale trochu jiný problém... rozumný člověk, když po někomu chce podobnou práci, tak se s ním nejdříve poradí, jak by se to mělo dělat... a ne že nejdřív rozhodne o detailech a pak hledá, jak jich docílit.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
19.3.2011 17:37 NN
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Odpovědět | | Sbalit | Link | Blokovat | Admin
Na VPS si povol FORWARDING pro konkretni porty..

NN

19.3.2011 17:39 NN
Rozbalit Rozbalit vše Re: IP Tables pomoc...
a dej to pred NAT jestli na VPS nejaky mas..

NN

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.