Udostepnianie strony w sieci

piteros · Post autor: **piteros** » 26 czerwca 2015, 12:45

pawkrol pisze:W takim razie włącz logowanie łańcucha Forward i zobacz czemu nie działa.

Doczytałem, że logi mogę uruchomić tak, ale nie bardzo wiem gdzie ich szukać.

iptables -A FORWARD -j LOG

pawkrol pisze: Ponadto takie pytanie:

Jeśli serwer DNS dla sieci 192.168.0.0/24 jest pod adresem 192.168.3.2. To jak owy serwer ma wysłać dalej zapytanie gdy mu na to nie pozwalasz?

Kod: Zaznacz cały

[color=#333333]iptables -P OUTPUT ACCEPT[/color]

Zmiana tej polityki chyba powinna wystarczyć?

Post autor: **dedito** » 26 czerwca 2015, 12:57

piteros pisze:Doczytałem, że logi mogę uruchomić tak, ale nie bardzo wiem gdzie ich szukać.

Google nie boli.

Kod: Zaznacz cały

[color=#111111][font=Georgia] /var/log/messages

[/font][/color]

piteros · Post autor: **piteros** » 26 czerwca 2015, 13:09

Na pewno o te logi chodzi?

Kod: Zaznacz cały

Jun 26 13:19:53 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.33.14.30 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=17599 PROTO=UDP SPT=43045 DPT=53 LEN=59.
Jun 26 13:19:56 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.42.93.30 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=9271 PROTO=UDP SPT=4722 DPT=53 LEN=59.
Jun 26 13:19:57 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.31.80.30 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=55494 PROTO=UDP SPT=12371 DPT=53 LEN=59.
Jun 26 13:19:58 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=8.8.8.8 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=25597 DF PROTO=UDP SPT=37362 DPT=53 LEN=48.
Jun 26 13:20:00 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.12.94.30 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=36023 PROTO=UDP SPT=57905 DPT=53 LEN=48.
Jun 26 13:20:00 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.54.112.30 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=1037 PROTO=UDP SPT=5855 DPT=53 LEN=59.
Jun 26 13:20:01 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=8.8.4.4 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=26348 DF PROTO=UDP SPT=52610 DPT=53 LEN=48.
Jun 26 13:20:04 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.55.83.30 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=28876 PROTO=UDP SPT=36784 DPT=53 LEN=59.
Jun 26 13:20:04 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.54.112.30 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=1038 PROTO=UDP SPT=36542 DPT=53 LEN=48.
Jun 26 13:20:08 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.42.93.30 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=9272 PROTO=UDP SPT=43138 DPT=53 LEN=59.
Jun 26 13:20:08 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.26.92.30 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=38081 PROTO=UDP SPT=52664 DPT=53 LEN=48.
Jun 26 13:20:12 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.12.94.30 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=36024 PROTO=UDP SPT=44009 DPT=53 LEN=59.
Jun 26 13:20:12 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=8.8.8.8 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=25598 DF PROTO=UDP SPT=37362 DPT=53 LEN=48.
Jun 26 13:20:15 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=8.8.4.4 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=26349 DF PROTO=UDP SPT=52610 DPT=53 LEN=48.
Jun 26 13:20:16 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.26.92.30 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=38082 PROTO=UDP SPT=54842 DPT=53 LEN=48.
Jun 26 13:20:19 BST kernel: IN=eth0 OUT=eth3 SRC=192.168.0.2 DST=192.168.3.2 LEN=51 TOS=0x00 PREC=0x00 TTL=127 ID=1275 PROTO=UDP SPT=49580 DPT=53 LEN=31.
Jun 26 13:20:19 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=153.19.250.101 LEN=62 TOS=0x00 PREC=0x00 TTL=63 ID=31734 PROTO=UDP SPT=57107 DPT=53 LEN=42.
Jun 26 13:20:20 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=192.48.79.30 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=45537 PROTO=UDP SPT=12005 DPT=53 LEN=48.
Jun 26 13:20:20 BST kernel: IN=eth0 OUT=eth3 SRC=192.168.0.2 DST=192.168.3.2 LEN=51 TOS=0x00 PREC=0x00 TTL=127 ID=1276 PROTO=UDP SPT=49580 DPT=53 LEN=31.
Jun 26 13:20:21 BST kernel: IN=eth0 OUT=eth3 SRC=192.168.0.2 DST=192.168.3.2 LEN=51 TOS=0x00 PREC=0x00 TTL=127 ID=1277 PROTO=UDP SPT=49580 DPT=53 LEN=31.
Jun 26 13:20:21 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=153.19.102.182 LEN=62 TOS=0x00 PREC=0x00 TTL=63 ID=34542 PROTO=UDP SPT=54936 DPT=53 LEN=42.
Jun 26 13:20:23 BST kernel: IN=eth0 OUT=eth3 SRC=192.168.0.2 DST=192.168.3.2 LEN=51 TOS=0x00 PREC=0x00 TTL=127 ID=1278 PROTO=UDP SPT=49580 DPT=53 LEN=31.
Jun 26 13:20:23 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=212.77.102.200 LEN=62 TOS=0x00 PREC=0x00 TTL=63 ID=3166 PROTO=UDP SPT=7518 DPT=53 LEN=42.
Jun 26 13:20:23 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=8.8.8.8 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=31845 DF PROTO=UDP SPT=59361 DPT=53 LEN=48.

pawkrol · Post autor: **pawkrol** » 26 czerwca 2015, 13:11

Jeśli serwer DNS dla sieci 192.168.0.0/24 jest pod adresem 192.168.3.2. To jak owy serwer ma wysłać dalej zapytanie gdy mu na to nie pozwalasz?

Zmiana tej polityki chyba powinna wystarczyć?

iptables -P OUTPUT ACCEPT

Nie rozumiesz. Czy zapytanie o nazwe DNS generuje router czy tylko je przekazuje dalej.
Łańcuch OUTPUT jest dla pakietów które zostały wygenerowane lokalnie na maszynie.

Dadaj teraz to co Ci napisałem + te logi i masz odpowiedź czemu nie ma internetu. W sumie to jest, tylko nie rozwiązują się nazwy.

piteros · Post autor: **piteros** » 26 czerwca 2015, 13:11

To Eagle odpowiada za rozwiązywanie nazw.

PS. Ja Was wszystkich bardzo przepraszam za moją toporność i dziękuję za chęć pomocy. Po prostu sieci to nie mój konik, od paru dni z tym siedze, dziennie po pare godzin by ogarnąć ten projekt...

pawkrol · Post autor: **pawkrol** » 26 czerwca 2015, 13:16

To Eagle odpowiada za rozwiązywanie nazw.

No właśnie więc jakiej reguły brakuje w Twoim firewallu ?

piteros · Post autor: **piteros** » 26 czerwca 2015, 13:19

Który przepuszcza eagla do internetu. Ale przecież mam to:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -o eth4 -s 192.168.3.0/24 -j SNAT --to 10.12.0.108

Przynajmniej ja to tak rozumiem, że:
Nowak wysyła zapytanie do eagla, co to za strona http://www.wp.pl?
Eagle zeby przetlumaczyc adres http://www.wp.pl musi łączyć się do DNS 8.8.8.8 (w moim przypadku z resolv.conf), a żeby to zrobić potrzebuje dostęp do internetu który przyznaje mu router.

pawkrol · Post autor: **pawkrol** » 26 czerwca 2015, 13:24

To nie jest reguła przepuszczająca.
Ona jedynie zamienia adres źródła pakietu na adres 10.12.0.108

Jeszcze raz. Jak dasz FORWARD na ACCEPT to masz internet. Jak na BLOCK to nie masz

Przykład Twojego logu. To połączenie jest blokowane przez firewall.

Jun 26 13:02:28 BST kernel: IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=208.84.2.53 LEN=82 TOS=0x00 PREC=0x00 TTL=63 ID=48475 PROTO=UDP SPT=44489 DPT=53 LEN=62

Dla ułatwienia skup się na tym:

Kod: Zaznacz cały

IN=eth3 OUT=eth4 SRC=192.168.3.2 DST=208.84.2.53
PROTO=UDP DPT=53

piteros · Post autor: **piteros** » 26 czerwca 2015, 13:30

Wydaje mi się, że chodzi tu o pakiety na porcie 53 idące z podsieci eagla tj. 192.168.3.0?

Kod: Zaznacz cały

iptables -A FORWARD -p tcp -s 192.168.3.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.3.0/24 --dport 53 -j ACCEPT

pawkrol · Post autor: **pawkrol** » 26 czerwca 2015, 13:32

Brawo. Z tym że raczej z samego eagle, a nie z jego podsieci