cruccio iptables

[Andrea Crotti]

Ho il seguente problema, tutti i pacchetti che arrivano a tun0 (o
un'interfaccia tun qualsiasi) devono essere rediretti a eth0
(l'interfaccia di rete esterna) e nattati.
Ora qui sotto ho le regole per il natting:

--8<---------------cut here---------------start------------->8---
$IPT -t nat -A POSTROUTING -o $ETH -j MASQUERADE
# accept stuff from the network which is connected
$IPT -A FORWARD -i $ETH -o $TUN -m state --state RELATED,ESTABLISHED -j ACCEPT
# accept everything from tap to external network
$IPT -A FORWARD -i $TUN -o $ETH -j ACCEPT
--8<---------------cut here---------------end--------------->8---


Ma pare che nulla venga in realtÃ* rediretto, possibile che forse manchi
qualcosa??

Grazie..

[Skull]

On 7/26/10 5:26 PM, Andrea Crotti wrote:
>
> Ho il seguente problema, tutti i pacchetti che arrivano a tun0 (o
> un'interfaccia tun qualsiasi) devono essere rediretti a eth0
> (l'interfaccia di rete esterna) e nattati.
> Ora qui sotto ho le regole per il natting:
>
> --8<---------------cut here---------------start------------->8---
> $IPT -t nat -A POSTROUTING -o $ETH -j MASQUERADE
> # accept stuff from the network which is connected
> $IPT -A FORWARD -i $ETH -o $TUN -m state --state RELATED,ESTABLISHED -j ACCEPT
> # accept everything from tap to external network
> $IPT -A FORWARD -i $TUN -o $ETH -j ACCEPT
> --8<---------------cut here---------------end--------------->8---
>
>
> Ma pare che nulla venga in realtÃ* rediretto, possibile che forse manchi
> qualcosa??

Definisci "rediretto".

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Andrea Crotti]

>
> Definisci "rediretto".

Voglio che tun0 venga nattata sostanzialmente, che tutti i pacchetti
diretti a tun0 vengano sparati su eth0...

[Skull]

On 7/26/10 5:40 PM, Andrea Crotti wrote:
>>
>> Definisci "rediretto".
>
> Voglio che tun0 venga nattata sostanzialmente, che tutti i pacchetti
> diretti a tun0 vengano sparati su eth0...

Un po' criptica comunque, poichè non sappiamo se questo implichi solo
traffico diretto alla tua macchina o implichi anche traffico che
*transita* attraverso di essa attraverso routing.
Nè, cosa ben più rilevante, cosa ti aspetti di ottenere con ciò...

Comqunque:

iptables -A PREROUTING -t nat -i tun0 -j DNAT --to-destination <IP_di_eth0>


Questo fa sì che qualsiasi pacchetto proveniente dal tunnel
(indipendentemente dall'IP di destinazione) subisca una riscrittura
della destinazione e venga pertanto "rediretto" alla macchina stessa,
sull'IP indicato.

Ovviamente assumendo che questo abbia un senso :-)

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[CtRiX]

Il Mon, 26 Jul 2010 17:26:44 +0200, Andrea Crotti ha scritto:

> Ma pare che nulla venga in realtÃ* rediretto, possibile che forse manchi
> qualcosa??

ip_forwarding abilitato ?

--
yhrfrryrtrt

[Skull]

On 7/26/10 6:00 PM, CtRiX wrote:
> -- yhrfrryrtrt

Uh?

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Andrea Crotti]

CtRiX <ctrix_cavami*via_hotmail.com> writes:

> Il Mon, 26 Jul 2010 17:26:44 +0200, Andrea Crotti ha scritto:
>
>> Ma pare che nulla venga in realtÃ* rediretto, possibile che forse manchi
>> qualcosa??
>
> ip_forwarding abilitato ?

Si abilitato, lo script totale era così
--8<---------------cut here---------------start------------->8---
#!/bin/bash
# setup the gateway to act as a nat machine
# see http://www.revsys.com/writings/quicktips/nat.html to understand it

set -x
echo 1 > /proc/sys/net/ipv4/ip_forward
IPT="iptables"

if [ $# -lt 2 ]
then
echo "./gateway.sh <tun> <external>"
exit 1
fi

TUN=$1
ETH=$2

ifconfig $TUN up

$IPT -F
$IPT -Z

$IPT -t nat -A POSTROUTING -o $ETH -j MASQUERADE
# accept stuff from the network which is connected
$IPT -A FORWARD -i $ETH -o $TUN -m state --state RELATED,ESTABLISHED -j ACCEPT
# accept everything from tap to external network
$IPT -A FORWARD -i $TUN -o $ETH -j ACCEPT
--8<---------------cut here---------------end--------------->8---


Comunque grazie al DNAT di skull pare funzionare, ci siamo quasi per lo
meno.
In sostanza scriviamo dati su tun0 e vogliamo che vengano rediretti su eth...

[Andrea Crotti]

Tra l'altro domanda stupida, ma è possibile che usare una virtual
machine e sniffare sulla sua interfaccia sia diverso che farlo su una
macchina reale?

Non credevo fosse questo il caso, ma ho un comportamento diverso...

[CtRiX]

Il Mon, 26 Jul 2010 18:03:17 +0200, Skull ha scritto:

>> -- yhrfrryrtrt
>
> Uh?

Era per metterti alla prova per vedere se capivi che avevo sminchiattato
male con le configurazioni dei profili di pan.

Prova superata, ovviamente ! :-D

Max

[Andrea Crotti]

Stiamo anche notando che stranamente su una macchina questo "trucco"
funziona mentre su altre due no, e tutte e tre sono linux teoricamente
con stesse configurazioni di rete.

E poi un altra domanda, la stessa cosa non sarebbe fattibile anche con
una route entry?

qualcosa tipo (vagamente)
ip route add 10.0.0.0 via eth0

non potrebbe funzionare?

[Skull]

On 7/26/10 8:30 PM, Andrea Crotti wrote:
>
> Stiamo anche notando che stranamente su una macchina questo "trucco"
> funziona mentre su altre due no, e tutte e tre sono linux teoricamente
> con stesse configurazioni di rete.

Difficile. Però non sappiamo assolutamente nulla di cosa ci fai, con
'sta roba: è una configurazione che di norma viene usata per transparent
proxying, o per altre cose abbastanza particolari...


> E poi un altra domanda, la stessa cosa non sarebbe fattibile anche con
> una route entry?
>
> qualcosa tipo (vagamente)
> ip route add 10.0.0.0 via eth0
>
> non potrebbe funzionare?

La risposta breve è "no"...


--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Andrea Crotti]

>
> Difficile. Però non sappiamo assolutamente nulla di cosa ci fai, con
> 'sta roba: è una configurazione che di norma viene usata per transparent
> proxying, o per altre cose abbastanza particolari...

Beh dunque dati due motes (cioè due piccoli gingilli attaccati all'usb
che comunicano via usb) dobbiamo fare in modo che un computer senza
internet riesca a navigare attraverso di essi.

Quindi sul client abbiamo tun0 come default route, mentre sul gateway
abbiamo appunto bisogno di fare natting su ciò che riceviamo sull'altra
tun0.

E' parecchio strano che su uno funzioni e due no, magari qualche altra
opzione magica in sysctl da verificare?


> La risposta breve è "no"...

Ok perfetto, ma sarebbe molto interessante anche vedere la risposta non breve...

[Skull]

On 7/26/10 8:46 PM, Andrea Crotti wrote:

> Beh dunque dati due motes (cioè due piccoli gingilli attaccati all'usb
> che comunicano via usb) dobbiamo fare in modo che un computer senza
> internet riesca a navigare attraverso di essi.
>
> Quindi sul client abbiamo tun0 come default route, mentre sul gateway
> abbiamo appunto bisogno di fare natting su ciò che riceviamo sull'altra
> tun0.


Vediamo se capisco:


PC1 ()========) PC2 --------- Router --------- Internet


Dove PC1 è privo di connettivitÃ* IP salvo il tunnel (quello
scarabocchio) con PC2.
PC2 ha invece una NIC che va verso un gateway e da lì in internet.

E' così semplice?

E, se sì: si vuole che PC1 sia raggiungibile? E su quali porte? Oppure
deve solamente poter raggiungere la Internet senza esserne raggiungibile?

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Andrea Crotti]

>
> Vediamo se capisco:
>
>
> PC1 ()========) PC2 --------- Router --------- Internet
>
>
> Dove PC1 è privo di connettivitÃ* IP salvo il tunnel (quello
> scarabocchio) con PC2.
> PC2 ha invece una NIC che va verso un gateway e da lì in internet.
>
> E' così semplice?
>
> E, se sì: si vuole che PC1 sia raggiungibile? E su quali porte? Oppure
> deve solamente poter raggiungere la Internet senza esserne raggiungibile?

Esattamente proprio così, che pc1 sia raggiungibile non interessa, basta
che si riesca a farlo uscire e siamo a posto.

Tra l'altro se ci esce un ping all'esterno siamo giÃ* contenti, la
bandwidth è penosa e il massimo di bytes per messaggio sono sui 60 c

[Skull]

On 7/26/10 9:15 PM, Andrea Crotti wrote:
>
>>
>> Vediamo se capisco:
>>
>>
>> PC1 ()========) PC2 --------- Router --------- Internet
>>
>>
>> Dove PC1 è privo di connettivitÃ* IP salvo il tunnel (quello
>> scarabocchio) con PC2.
>> PC2 ha invece una NIC che va verso un gateway e da lì in internet.
>>
>> E' così semplice?
>>
>> E, se sì: si vuole che PC1 sia raggiungibile? E su quali porte? Oppure
>> deve solamente poter raggiungere la Internet senza esserne raggiungibile?
>
> Esattamente proprio così, che pc1 sia raggiungibile non interessa, basta
> che si riesca a farlo uscire e siamo a posto.
>
> Tra l'altro se ci esce un ping all'esterno siamo giÃ* contenti, la
> bandwidth è penosa e il massimo di bytes per messaggio sono sui 60 c


Ok.

Facciamo due ipotesi.
La prima è che tra PC1 e PC2, ai due lati del tunnel, ci siano indirizzi
della 10.1.1.0/30.

10.1.1.1 è PC1
10.1.1.2 è PC2

Ipotizziamo che PC2 abbia sulla NIC eth0 l'indirizzo 192.168.1.2 e che
abbia default gateway giÃ* impostato verso il router

Su PC1:

ip route add default via 10.1.1.2


Su PC2:

sysctl -w net.ipv4.ip_forward=1
iptables -A POSTROUTING -t nat -s 10.1.1.1 -o eth0 -j SNAT --to-source
192.168.1.2

Tutto qui.

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/