VTun - Shorewall DNAT probléma

Linux-kezdő

VTun - Shorewall DNAT probléma

  • 806 megtekintés

( Pingvin | 2005. 09. 21., sze – 11:41 )

Közben kerestem a Google-n, hogy hátha nem támogatja ezt a VTun, illetve találkozott-e már valaki hasonlóval... de nem jutottam semmire, tehát SZVSZ elvileg mennie kellene...

( Pingvin | 2005. 09. 21., sze – 11:44 )

Azt még nem mondtam el tegnap este, hogy ezt az egész tunnelezést azért csinálom, mert SSH portforwardingon nem jönnek keresztül az UDP csomagok, csak a TCP-k. Ezért aztán egy olyan megoldásra van szükségem, amivel UDP és TCP továbbításra is szimultán lehetőség van. Ha ez a VTun dolog nem a legszerencsésebb, akkor ti mit ajánlanátok?

SSH sajnos tudtommal és eddigi tapasztalataim alapján nem támogatja az UDP-t... :)

( Pingvin | 2005. 09. 21., sze – 14:33 )

Közben tcpdumppal kísérletezek, hogy megpróbáljak rájönni, hogy meddig jutnak el a kérések. Annyit kisütöttem, hogy a kapcsolat kérések megérkeznek ugyan arra a gépre, amelyikre forwardolom a portokat a tunnelen keresztül, de választ már nem kap vissza a kliens, mintha a csomagok "elvesznének" visszafelé, vagy méginkább, mintha a szerver program rossz helyre küldené a választ, vagy rossz lenne a route...

Mindegy. Lényeg, hogy így néz ki annak a gépnek a routing táblája, amelyikre forwardolom a portokat... ebből következik nektek valami? Nekem sajnos nem sok... :oops: de valamiért gyanítom, hogy routing baj (is) lesz... :oops:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 * 255.255.255.252 U 0 0 0 tun0
172.17.141.0 * 255.255.255.0 U 10 0 0 eth2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default * 0.0.0.0 U 10 0 0 eth2

( Pingvin | 2005. 09. 21., sze – 01:44 )

Sziasztok!

Kb. egy napja próbálom megoldani a következő problémát:

Adott két gép, köztük pedig egy tökéletesen működő VTun kapcsolat. Azt szeretném megoldani, hogy a két gép közül az "A" gép 14741 és 14742 portjára érkező tcp és udp kérések továbbítva legyenek a "B" gépre a VTun csatornán keresztül.

Ehhez "A" gépen a következő szabályokat használom az /etc/shorewall/rules-ban:

DNAT net loc:192.168.2.2 tcp 14741:14742
DNAT net loc:192.168.2.2 udp 14741:14742
(ahol 192.168.2.2 az "B" gép VTun által létrehozott IP-je.)

/etc/shorewall/policy-ban:

loc all ACCEPT
fw all ACCEPT
net all DROP
all all REJECT

/etc/shorewall/interfaces-ben:

net eth1 detect blacklist,tcpflags,routefilter,dropunclean
loc eth0 detect
loc tun+

A probléma az, hogy "B" gépen localhostról simán lehet ugyan csatlakozni "A" gép portjaira, tehát egy szkennelés ezt az eredményt hozza:

14741/tcp open unknown
14742/tcp open unknown

ugyanakkor sajnos a net felől megpróbálva ugyanezt, az eredmény:

14741/tcp filtered unknown
14742/tcp filtered unknown

Légyszi segítsetek kitalálni nekem, hogy mit rontottam el, és hol. Már mindent megpróbáltam, mindenütt kerestem (google, manual, listák, etc etc)... :((

Alternatívákra is nyitott vagyok, ha ezt így nem lehet megoldani. Csak segítsetek ezt megcsinálni, mert nagyon fontos volna... :((

( Pingvin | 2005. 09. 22., cs – 11:01 )

No. Utolsó hozzászólásom a témában, amennyiben nem jutunk semmire. Félre ne értse senki, csak azért írogatok ennyit magamban mert 1) nagyon szeretném megoldani és 2) hátha más is találkozik ilyesmivel és akkor ne kelljen neki is végigmenni ezen a hülyeségen.

Szóval, tegnap estére sikerült megállapítanom, hogy SZVSZ 70%, hogy routing hiba van a kolis gépemen. Csak arra nem sikerült még rájönnöm, hogy hogyan javítsam ki. Ugyanis iptraffal megnézve a forgalmat, tengernyi Destination unreachable üzi látható amikor fut a program és ez azt jelenti, hogy a kérések megérkeznek, viszont a válaszok "nem találnak vissza" a célhoz.

Azért még ideírom a két gép route tábláját, hátha eszetekbe jut róla valami:

Kolis gép route táblája (tehát ezen fut a progi, erre forwardolom a portokat):

[code:1:b308d84614]Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 * 255.255.255.252 U 0 0 0 tun0
172.17.141.0 * 255.255.255.0 U 10 0 0 eth2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default * 0.0.0.0 U 10 0 0 eth2
[/code:1:b308d84614]

Szerver gép route táblája (tehát erről forwardolom a portokat VTunnelen keresztül a kolis gépre):

[code:1:b308d84614]Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 * 255.255.255.252 U 0 0 0 tun0
212.92.23.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 212.92.23.1 0.0.0.0 UG 0 0 0 eth1
[/code:1:b308d84614]

Köszi szépen bárkinek, aki tud valami tanácsot adni, hogy hogyan oldhatnám meg ezt a problémát. Tudom, nem egyszerű, nagy szívás az egész. Szóval ha nem megy, akkor sem baj, de azért hátha. :)

Bye! :)