Iptables Server Gør mærkeligt HJÆLP

Hei !

Har forsøkt å kjøre med trafikkmonitor opp mot de to sidene. Kan ikke se at det skulle være noe speiselt med dem rent "firewallmessig". Det hele ser ut til å være standard port 80 trafikk, men det dreier seg for begge webstedene om et ganske komplekst trafikkmønster, det vil i praksis si at sidene består av mange delelementer som hentes ned fra forskjellige web servere.

Normalt så skulle jo ikke dette være noe problem. Det man kanskje kunne tenke på det var om det eventuelt kunne dreie seg om en natforbindelse gjennom firewall som kjører bare sånn delvis, slik at den på en eller annen måte mister "tracking" på datastrømmen.

Om det går ann å stenge ute visse sider på nettet .. tja, ja og nei .. det er enkelt å stenge ute visse porter, for eksempel alle krypterte sider og det er enkelt å stenge ute visse ip adresser. Det er ikke så enkelt å stenge ute visse adresser. (Dette kan eventuelt lettest gjøres hvis man kjører Squid eller en annen proxy.)

En feil som vil kunne medføre at visse adresser ikke kommer opp, det er viss det er noe feil med DNS resolving oppsettet. Hvis man taster "ping www.msn.dk" og "ping www.dba.dk" så vil man kunne se om den resolver dette til korrekt ip. Hvis dette skjer så virker dns resolvingen og da er dette utelukket.

Ellers hva med å legge ut den utskriften som kommer dersom du taster kommandoene
"iptables -L" og "iptables -t nat -L".

Har du ellers noe firewall script eller noe det hadde gått ann å se på som "troubleshooting". Er det du selv som har satt opp firewall ?

Du kan jo ellers anonymisere eventuelle globale ip slik at vi ikke legget ut "hackermat".

iptables -L

Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:www
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:ftp
ACCEPT    tcp  --  localnet/24          anywhere            tcp dpt:ssh
ACCEPT    tcp  --  localnet/24          anywhere            tcp dpt:6543
ACCEPT    tcp  --  localnet/24          anywhere            tcp dpt:netbios-ns
ACCEPT    tcp  --  localnet/24          anywhere            tcp dpt:netbios-dgm
ACCEPT    tcp  --  localnet/24          anywhere            tcp dpt:netbios-ssn
ACCEPT    udp  --  localnet/24          anywhere            udp dpt:netbios-ns
ACCEPT    udp  --  localnet/24          anywhere            udp dpt:netbios-dgm
ACCEPT    udp  --  localnet/24          anywhere            udp dpt:netbios-ssn
ACCEPT    all  --  anywhere            anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source              destination
ACCEPT    all  --  localnet/24          anywhere
ACCEPT    all  --  anywhere            anywhere            state RELATED,ESTABLISHED
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:smtp
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:pop3
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:imap2
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:spamd
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:imaps
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:8000
TCPMSS    tcp  --  anywhere            anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target    prot opt source              destination
DNAT      tcp  --  anywhere            0x50c70e09.adsl-fixed.tele.dk tcp dpt:smtp to:192.168.1.4
DNAT      tcp  --  anywhere            0x50c70e09.adsl-fixed.tele.dk tcp dpt:pop3 to:192.168.1.4
DNAT      tcp  --  anywhere            0x50c70e09.adsl-fixed.tele.dk tcp dpt:imap2 to:192.168.1.4
DNAT      tcp  --  anywhere            0x50c70e09.adsl-fixed.tele.dk tcp dpt:spamd to:192.168.1.4
DNAT      tcp  --  anywhere            0x50c70e09.adsl-fixed.tele.dk tcp dpt:imaps to:192.168.1.4
DNAT      tcp  --  anywhere            0x50c70e09.adsl-fixed.tele.dk tcp dpt:8000 to:192.168.1.4

Chain POSTROUTING (policy ACCEPT)
target    prot opt source              destination
MASQUERADE  all  --  localnet/24          anywhere

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination



Og så er der firewall'en den har du jo set før :-))

#!/bin/sh

# Sletter regler
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.1.0/24'
LAN_NIC='eth1'
WAN_IP='xx.xxx.xx.x'
MAIL_SERVER='192.168.1.4'

# Henter moduler
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe  iptable_nat

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


# Åbner porte på router 80,21,22
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 8080
iptables -A INPUT -j ACCEPT -p tcp --dport 8081
iptables -A INPUT -j ACCEPT -p tcp --dport 8082
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 22

# Apc - UPS
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 6543

# Vidersender til mail-server port 25,110,143,783,993,81
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 25 -j DNAT --to $MAIL_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 110 -j DNAT --to $MAIL_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 143 -j DNAT --to $MAIL_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 783 -j DNAT --to $MAIL_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 993 -j DNAT --to $MAIL_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 81 -j DNAT --to $MAIL_SERVER

# Åbner for trafik til mail-server.
iptables -A FORWARD -j ACCEPT -p tcp --dport 25
iptables -A FORWARD -j ACCEPT -p tcp --dport 110
iptables -A FORWARD -j ACCEPT -p tcp --dport 143
iptables -A FORWARD -j ACCEPT -p tcp --dport 783
iptables -A FORWARD -j ACCEPT -p tcp --dport 993
iptables -A FORWARD -j ACCEPT -p tcp --dport 8000

# Åbner for fildeling (samba)
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 137
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 138
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 139
iptables -A INPUT -j ACCEPT -p udp -s 192.168.1.0/24 --dport 137
iptables -A INPUT -j ACCEPT -p udp -s 192.168.1.0/24 --dport 138
iptables -A INPUT -j ACCEPT -p udp -s 192.168.1.0/24 --dport 139

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

For å feilsøke litt, forsøk å endre:

iptables -P FORWARD DROP

settes til:

iptables -P FORWARD ACCEPT

(Hvis det da kjører så har vi lokalisert feilen til å ha noe med fitreringen gjennom forward chains å gjøre.)

En annen sak ..

Dette skal kunne fungere

iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET

Og dette skal kunne fungere:

iptables -A FORWARD  -i $LAN_NIC -s $LAN_IP_NET -j ACCEPT

De fleste referanser jeg har sett bruker den siste varianten med -j ACCEPT helt til høyre. Mon det kan skape problemer å veksle syntaks fra linje til linje. Vet ikke dette men ville satset på en fast syntaks. Bruker selv normalt den siste variant.

Da blir det:

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD  -i $LAN_NIC -s $LAN_IP_NET -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Ellers for videre feilsøking, forsøk om forbindelsen lan-internet kjører med denne:

#!/bin/sh

# Sletter regler
echo 0 > /proc/sys/net/ipv4/ip_forward

# Henter moduler
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe  iptable_nat

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Rettelse:

echo 0 > /proc/sys/net/ipv4/ip_forward

blir:

echo 1 > /proc/sys/net/ipv4/ip_forward

Forstår ellers ikke helt hvor denne kommer fra:

TCPMSS    tcp  --  anywhere            anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Der er ingen forskel, virker ikke.

Hvis jeg bruger dette, så "iptables v1.2.11: Can't use -i with POSTROUTING"

#!/bin/sh

# Sletter regler
echo 0 > /proc/sys/net/ipv4/ip_forward

# Henter moduler
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe  iptable_nat

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Det virker meget mærkeligt ?????

Jeg har brugt den samme firewall på Debian Woody kernel 2.4.27 og der var der ikke nogle problemer.
Nu bruger jeg Debian Sarge kernel 2.6.8 og det virker ikke, eller delvist. ??

Hvis jeg bruger dette, så "iptables v1.2.11: Can't use -i with POSTROUTING"

.. Har ikke noen maskin jeg kan teste på akkurat nå. Det stemmer vel, det skal vel være -o og ikke -i når det dreier seg om postrouting:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

( .. alle pakker som hat output til eth0 .. )

Hvad sker der hvis du forsøger at komme ind på de sider? Timer forbindelsen ud efter et par minutter, eller siger den connection refused? Hvis den timer ud, så tjek med tcpdump på det eksterne interface, om der både bliver sendt og modtaget data til og fra de servere. Hvis der gør det, så tror jeg du er løbet ind i et problem med at du blokerer alt icmp. Der er en grund til at icmp findes, bla. for at give besked hvis nogle pakker er for store til at kunne blive håndteret. Det er en typisk fejl, som jeg også selv løb ind i i går.

# Begrænser pings
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/sec --limit-burst 2
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Accepterer alt andet icmp, herunder fragmentation-needed
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Mabi ->

Den eneste større forskjell jeg har oppdaget med 2.6.x kernel mht konfigurering av firewall, det er hvordan den håndterer en bridge nå filtrere den bridgen som default, før så gjode den ikke det. Det finnes vel ikke noe bridgeoppsett eller noe slikt på maskinen ??

Xyborx ->

Skulle man behøve icmp ?? Mener da selv at jeg har kjørt med denne satt til drop faktisk i årevis uten at dette har medført noe annet problem enn at jeg ikke kan pinge min egen server.

Ellers så blir jo limit 2 og burst 2 veldig lavt dersom det er satt en slik grense i andre sammenhenger enn for "ping".

langbein> Det er også et relativt sjældent problem, med det lyder umiddelbart som om det kunne være tilfældet her. Jeg har også kørt med drop i lang tid uden problemer, men på nogle forbindelser med en vis MTU (mener jeg det var), der får man altså det problem. Det er da værd at prøve om det virker :)

Limit'en kommer kun til at gælde for indkommende pings. På den måde kan man debugge, men ikke overbelaste. Hov, jeg har da glemt -j ACCEPT bagpå den linie..

Hej igen.

Nu har jeg igen prøvet alt, og det virker ikke.
Jeg har også lavet min server om til kernel 2.4.27, det blive ikke beder af det.

Her er et tcpdump. hvis i kan blive klog at det ???

17:10:21.859640 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1190 > 213.199.154.84.www: . ack 1 win 17520
17:10:21.860464 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1190 > 213.199.154.84.www: P 1:494(493) ack 1 win 17520
17:10:21.932375 PPPoE  [ses 0x889a] IP 213.199.154.84.www > 0x50c70e09.adsl-fixed.tele.dk.1190: . ack 494 win 17027
17:10:21.943515 PPPoE  [ses 0x889a] [length 17 (59 extra bytes)] IP truncated-ip - 453 bytes missing! 213.199.154.84.www > 0x50c70e09.adsl-fixed.tele.dk.1190: P 1:488(487) ack 494 win 17027
17:10:21.944442 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1190 > 213.199.154.84.www: F 494:494(0) ack 488 win 17033
17:10:21.945036 PPPoE  [ses 0x889a] IP 213.199.154.84.www > 0x50c70e09.adsl-fixed.tele.dk.1190: F 488:488(0) ack 494 win 17027
17:10:21.945657 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1190 > 213.199.154.84.www: . ack 489 win 17033
17:10:21.947324 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1191 > 213.199.154.71.www: S 4115660548:4115660548(0) win 16384 <mss 1460,nop,nop,sackOK>
17:10:21.996898 PPPoE  [ses 0x889a] IP 213.199.154.84.www > 0x50c70e09.adsl-fixed.tele.dk.1190: . ack 495 win 17027
17:10:22.006139 PPPoE  [ses 0x889a] IP 213.199.154.71.www > 0x50c70e09.adsl-fixed.tele.dk.1191: S 518600031:518600031(0) ack 4115660549 win 16384 <mss 1460,nop,nop,sackOK>
17:10:22.006372 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1191 > 213.199.154.71.www: . ack 1 win 17520
17:10:22.007407 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1191 > 213.199.154.71.www: P 1:585(584) ack 1 win 17520
17:10:22.237916 PPPoE  [ses 0x889a] IP 213.199.154.71.www > 0x50c70e09.adsl-fixed.tele.dk.1191: . ack 585 win 16936
17:10:37.383622 PPPoE  [ses 0x889a] LCP, Echo-Request (0x09), id 93, Magic-Num 0x014c289e, length 8
17:10:37.395092 PPPoE  [ses 0x889a] LCP, Echo-Reply (0x0a), id 93, Magic-Num 0x64aa7e13, length 8
17:10:38.007256 PPPoE  [ses 0x889a] IP 129.177.130.172.8985 > 0x50c70e09.adsl-fixed.tele.dk.1034: P 4091779015:4091779136(121) ack 3706032473 win 64007
17:10:38.007614 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.32774 > ns3.inet.tele.dk.domain:  35451+ PTR? 172.130.177.129.in-addr.arpa. (46)
17:10:38.007812 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.1034 > 129.177.130.172.8985: P 1:5(4) ack 121 win 16986
17:10:38.076744 PPPoE  [ses 0x889a] IP ns3.inet.tele.dk.domain > 0x50c70e09.adsl-fixed.tele.dk.32774:  35451 NXDomain 0/1/0 (103)
17:10:38.217685 PPPoE  [ses 0x889a] IP 129.177.130.172.8985 > 0x50c70e09.adsl-fixed.tele.dk.1034: . ack 5 win 64003
17:10:38.417972 PPPoE  [ses 0x889a] IP 0x50c79828.kjnxx5.adsl-dhcp.tele.dk.3953 > 0x50c70e09.adsl-fixed.tele.dk.microsoft-ds: S 1619451338:1619451338(0) win 16384 <mss 1460,nop,nop,sackOK>
17:10:38.418242 PPPoE  [ses 0x889a] IP 0x50c70e09.adsl-fixed.tele.dk.32774 > ns3.inet.tele.dk.domain:  35452+ PTR? 40.152.199.80.in-addr.arpa. (44)
17:10:38.452103 PPPoE  [ses 0x889a] IP ns3.inet.tele.dk.domain > 0x50c70e09.adsl-fixed.tele.dk.32774:  35452 1/2/2 (170)
17:10:41.370546 PPPoE  [ses 0x889a] IP 0x50c79828.kjnxx5.adsl-dhcp.tele.dk.3953 > 0x50c70e09.adsl-fixed.tele.dk.microsoft-ds: S 1619451338:1619451338(0) win 16384 <mss 1460,nop,nop,sackOK>
17:10:51.820192 PPPoE  [ses 0x889a] LCP, Echo-Request (0x09), id 131, Magic-Num 0x64aa7e13, length 12
17:10:51.820246 PPPoE  [ses 0x889a] LCP, Echo-Reply (0x0a), id 131, Magic-Num 0x014c289e, length 12
17:10:57.393615 PPPoE  [ses 0x889a] LCP, Echo-Request (0x09), id 94, Magic-Num 0x014c289e, length 8
17:10:57.404819 PPPoE  [ses 0x889a] LCP, Echo-Reply (0x0a), id 94, Magic-Num 0x64aa7e13, length 8
17:11:02.061078 PPPoE  [ses 0x889a] LCP, Echo-Request (0x09), id 132, Magic-Num 0x64aa7e13, length 12
17:11:02.061114 PPPoE  [ses 0x889a] LCP, Echo-Reply (0x0a), id 132, Magic-Num 0x014c289e, length 12

76 packets captured
76 packets received by filter
0 packets dropped by kernel

Hej..............

Kan TDC have lavet om på noget på min pppoe forbindelse ?? jeg mener det har jo virket.
Kan jeg juster noget på pppoe forbindelsen der kan gører en forskel.

Her tror jeg det går galt
17:10:21.943515 PPPoE  [ses 0x889a] [length 17 (59 extra bytes)] IP truncated-ip - 453 bytes missing! 213.199.154.84.www > 0x50c70e09.adsl-fixed.tele.dk.1190: P 1:488(487) ack 494 win 17027

Men jeg er så ikke så sikker på hvordan det fikses. Jeg kan se i min /etc/ppp/pppoe.conf at de anbefaler CLAMPMSS=1412 hvis maskinen fungerer som router, i stedet for CLAMPMSS=no der er fint til en enkelt maskine. Måske er det der problemet ligger?

Hej....

Nu gider jeg ikke mere, jeg sætter min router på og så er det, det.
Jeg har prøvet alt hvad i har skrevet, og jeg kan ikke få det til at virke.
Det kan værer et debian problem eller også er det ikke. ???
Overvejer at prøve med en anden dist, bare for at prøve. "love debian :-))"
Det er bare trist, for det har kørt fint i et års tid eller mere.

SÅ KOM LIGE MED ET GULDKORN. :-(

eller må i jo komme med et svar. så i kan få point

Forsøk:

#!/bin/sh

# Sletter regler
echo 0 > /proc/sys/net/ipv4/ip_forward

# Henter moduler
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe  iptable_nat

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Da står firewall helt åpen.

Hej...

Nå, så fik jeg tid til at prøve det... :-((
Det er det samme ???.
Det kører på en router nu.

hmmm, skulle vi ikke lukke den nu :-))