forum.opennet.ru

"Перенаправление трафика (forwarding)"

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

"Перенаправление трафика (forwarding)"	–1 +/–
Сообщение от WeSTMan (ok), 21-Апр-20, 17:39
Всем привет. Хочу поставить сервер, который будет выступать в роли фильтров между клиентом и сервером. Сервер фильтрации должен менять адрес назначения на адрес сервера и в обратном порядке. Но когда я пытаюсь послать пакет на сервер фильтрации, он приходит, переходит в цепочку FORWARD и дропается самой сетевой картой. Соответственно пакет сервер не принимает. Может какой VPN сделать между сервером и сервером фильтрации? Как я понял, то сетевуха не знает о этих сетях ничего (типа не мне и не я принимаю/отсылаю пакет, поэтому и дропаю). Правила в iptables (По умолчанию все цепочки ACCEPT и включен ip v4 forward) iptables -t nat -A PREROUTING -d IPFilter/32 -p udp --dport 27017 -j DNAT --to-destination IPServer НО, если я поменяю адрес источника клиента на адрес сервера фильтров, то пакет будет передан серверу, но не с IP клиента, а с IP фильтров. А мне нужен, чтобы пересылался IP адрес клиента. Помогите, пожалуйста, с решением вопроса!
Ответить \| Правка \| Cообщить модератору

Оглавление

Перенаправление трафика (forwarding), WeSTMan, 21-Апр-20, 17:39 [смотреть все]

Какой линукс Линукс ли A Постарайтесь нарисовать топологию, или придумайте им в, Licha Morada, 21-Апр-20, 19:04 (1) //
- В принципе ожидал, что будет не совсем понятно У нас есть 3 участника сети IP а, WeSTMan, 21-Апр-20, 20:42 (2) //
  - Замечательно, значит, все в Интернете в разных сетях Это вы делаете с помощью пр, Licha Morada, 21-Апр-20, 21:42 (3) //
    - ДаДаВозможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение на, WeSTMan, 21-Апр-20, 22:05 (4)
      - Да, можно Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и мар, Licha Morada, 21-Апр-20, 22:58 (11)
        
        gt оверквотинг удален Я могу залить файл pcap для wireshark, там видно весь тр, WeSTMan, 21-Апр-20, 23:27 (14)
        
        Ну, значит dropped Тогда надо смотреть на флаг ip_forward, таблицу маршрутизаци, Licha Morada, 21-Апр-20, 23:40 (16)
        
        Можете что-нибудь подсказать Суть такова, чтобы был неизвестный реальный IP сер, WeSTMan, 22-Апр-20, 00:13 (17)
        
        Вот этот вариант из примера должен подойти, только там опечатка, кажется, для SN, romanegunkov, 22-Апр-20, 00:35 (21)
        Подсказывать тут особо нечего Концептуально вам поможет прокси, реализованный т, Licha Morada, 22-Апр-20, 01:53 (23)
        
        iptables -L -v -nChain INPUT policy ACCEPT 10115 packets, 552K bytes pkts byte, WeSTMan, 22-Апр-20, 00:19 (18)
        
        Никто forward не запрещает Если у вас OpenVZ, дальше я бы стал копать там А воо, Licha Morada, 22-Апр-20, 01:55 (24)
        
        ACCEPT везде, пока я не разберусь с маршрутизацией Далее политики DROP поставлю, WeSTMan, 22-Апр-20, 07:30 (25)
        Interfacesauto venet0iface venet0 inet manual up ifconfig venet0 up , WeSTMan, 22-Апр-20, 08:02 (26)
        
        Вы подтвердите или опровергните Ваш фильтрующий сервер не виртуальная машина, а, Licha Morada, 22-Апр-20, 18:27 (30)
        
        gt оверквотинг удален Использую OpenVPN без шифрования Спасибо за ответы , WeSTMan, 22-Апр-20, 21:42 (31)
Послушайте снифером на конечном сервере Кажется дропится не на сервере фильтрац, romanegunkov, 21-Апр-20, 22:07 (5) //
- Конечный сервер ничего не получает Отлавливал через tshark, WeSTMan, 21-Апр-20, 22:11 (6) //
  - Чудеса А в tshark по каким-то критериям отлавливаете Попробуйте в iptables пропи, romanegunkov, 21-Апр-20, 22:29 (7) //
    - Все это дело тестировал tshark -f port 27017 -i ppp0Я писал, что пакеты дропа, WeSTMan, 21-Апр-20, 22:31 (8)
      - gt оверквотинг удален Может есть правило дропать, или я что-то не понимаю Пос, romanegunkov, 21-Апр-20, 22:45 (9)
      - И в довесок убедитьсяcat proc sys net ipv4 ip_forwardcat proc sys net ipv4 con, romanegunkov, 21-Апр-20, 22:51 (10)
- Нет там никакой сессии, UDP же Конечный сервер и сервер фильтрации в разных сетя, Licha Morada, 21-Апр-20, 23:01 (12) //
  - Давно это было, может я и забыл какие-то нюансы Но, кажется, может зависеть от , romanegunkov, 21-Апр-20, 23:21 (13) //
    - gt оверквотинг удален Да, пока пакет не может еще отправится на конечный серве, WeSTMan, 21-Апр-20, 23:36 (15)
      - gt оверквотинг удален Дропы на tx, это не значит что не может отправиться, это, romanegunkov, 22-Апр-20, 00:20 (19)
        
        gt оверквотинг удален Выше приложил вывод iptables, посмотрите, пожалуйста, WeSTMan, 22-Апр-20, 00:25 (20)
        
        gt оверквотинг удален Я к тому что для начала просто установить ip связность о, romanegunkov, 22-Апр-20, 00:44 (22)
        
        gt оверквотинг удален Может поднять VPN И через него трафик гонять , WeSTMan, 22-Апр-20, 08:22 (27)
        
        gt оверквотинг удален Можно, конечно Реализация несложная, можно разные вариа, romanegunkov, 22-Апр-20, 11:19 (28)
        
        gt оверквотинг удален Сделал VPN, все заработало Только приложение критично к, WeSTMan, 22-Апр-20, 11:33 (29)
Лучше сразу делать все это при покупке пакета, у вас явно ошибка в установке У , dmitriygessus, 24-Май-20, 23:36 (33)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру