[IPTABLES] Outgoing data afhankelijk van incomming port - Netwerken

woensdag 14 oktober 2009 12:37

Acties:

Topicstarter

Vraag is als volgt, kan iptables dit:

Data komt binnen over interface A voor Server 3. Server 3 stuurt data terug maar uitgaande data moet ook weer via interface a gaan.

code:

                    ____________
----------INT A ----|          | 
                    | IPtable s|----- SERVER 3
----------INT B ----|__________|

Kan dit met IPTABLES? Naar mijn idee doet NAT het zelfde alleen moet de koppeling niet op basis van IP plaatsvinden maar op basis van interface.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

maandag 19 oktober 2009 20:48

Acties:

battler

Topicstarter

Bump

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

maandag 19 oktober 2009 20:49

Acties:

spone

Ja, dat moet prima lukken via IPtables.

Desktop: i5-14600K, 32GB DDR5-6000, RTX 5070 Ti; Laptop: MacBook Pro M1 Pro 14" 16/512; Server: R9-7950X, 192GB DDR5-5600; Woonkamer: Asrock DeskMini B860, Core Ultra 5 245K, 16GB DDR5-7600

maandag 19 oktober 2009 20:51

Acties:

JasperE

Hoe weet je nu of data bestemd is voor server 3 als je het niet op basis van IP doet....

maandag 19 oktober 2009 20:52

Acties:

battler

Topicstarter

Het gaat er om dat je niet op basis van IP de terugweg kan bepalen.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

maandag 19 oktober 2009 22:29

Acties:

JasperE

battler schreef op maandag 19 oktober 2009 @ 20:52:
Het gaat er om dat je niet op basis van IP de terugweg kan bepalen.

Het concept van een proxy?

dinsdag 20 oktober 2009 13:07

Acties:

battler

Topicstarter

Eigenlijk eerder 2 gateways en a.d.h.v welke gateway de data is binnengekomen alle related data ook weer via die gateway naar buiten.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

dinsdag 20 oktober 2009 14:19

Acties:

TrailBlazer

Karnemelk FTW

Dit is wel een heel lastig iets. Ik zat te denken aan bepaalde tos bits zetten maar die zijn enkel pakket gerelateerd en niet sessie gerelateerd natuurlijk. Sourcle natten schiet ook niet heel erg op. Waarom wil je dit doen eigenlijk.

dinsdag 20 oktober 2009 15:57

Acties:

Equator

Crew Council

#whisky #barista

TrailBlazer schreef op dinsdag 20 oktober 2009 @ 14:19:
Source natten schiet ook niet heel erg op. Waarom wil je dit doen eigenlijk.

Wel als je kan source natten op basis van het IP van de gebruikte interface. Dan zal server 3 de reply weer naar de juiste IP dus interface sturen.
Maar dan moet je dus natten net na de input chain (of was dat IP chains..

)

[ Voor 10% gewijzigd door Equator op 20-10-2009 16:00 ]

dinsdag 20 oktober 2009 15:58

Acties:

JasperE

Wat wil je dan bereiken? Een soort van load balancing over 2 WAN verbindingen?
http://lartc.org/howto/lartc.rpdb.multiple-links.html

dinsdag 20 oktober 2009 23:36

Acties:

battler

Topicstarter

Ik ga proberen het iets beter uit te leggen, in princiepen komt het neer op 1 vraag:
Afbeeldingslocatie: http://img5.yfrog.com/img5/1217/omarnetwerk.jpg

Afbeeldingslocatie: http://img5.yfrog.com/img5/1217/omarnetwerk.jpg

(Blauwe + rode lijn).
- Data binnenkomend op de ADSL mag zowel naar het kantoor als de servers en moet terug via de ADSL.
- Uitgaande data van zowel de servers als het kantoor moet naar buiten via de ADSL lijn.
----------------------------------
Dit bovenstaande is simpel, de default gateway op de firewall wordt dus gewoon de ADSL interface.

- Inkomende data via de SDSL lijn moet ook weer terug via SDSL, en om het nog iets gecompliceerder te maken moet het ook nog worden genat. (paarse lijn)

In het kort: Inkomende data van interface 1 moet worden genat naar interface 3. En de established/related data moet dan weer terug via interface 1.

Hoe krijg ik dit laatste voormekaar?
Een statische route afhankelijk van source-ip/interface?

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 21 oktober 2009 06:47

Acties:

TrailBlazer

Karnemelk FTW

De enige mogelijkheid die ik zie is natten op de modems.

woensdag 21 oktober 2009 11:06

Acties:

battler

Topicstarter

Dan zou ik 2 keer moeten natten voor de SDSL interface?
1x achter het modem en 1x achter de firewall, en dan proberen een statische route (gateway) te maken afhankelijk van source ip of source interface?

Wat links over multiple gateways
http://www.clintoneast.com/articles/multihomed.php
http://www.linuxhomenetwo...:_Ch03_:_Linux_Networking
http://linux-ip.net/html/adv-multi-internet.html

[ Voor 38% gewijzigd door battler op 21-10-2009 11:09 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 21 oktober 2009 11:17

Acties:

_fm

Als je nu de servers (de enige die gebruik maken van de sdsl lijn als ik je goed begrijp) een extra ip (alias) geeft, en die gebruikt om het inkomende verkeer van de sdsl lijn naar toe te natten (dnat), kun je op de gateway/firewall routen op source ip volgens mij.

Even vlug lezend in de iptables tutorial en linux advanced routing & traffic control geeft de indruk dat het ook wel zou moeten kunnen met connmark, mark en routen op dat mark.

[ Voor 25% gewijzigd door _fm op 21-10-2009 11:27 ]

woensdag 21 oktober 2009 11:30

Acties:

TrailBlazer

Karnemelk FTW

battler schreef op woensdag 21 oktober 2009 @ 11:06:
Dan zou ik 2 keer moeten natten voor de SDSL interface?
1x achter het modem en 1x achter de firewall, en dan proberen een statische route (gateway) te maken afhankelijk van source ip of source interface?

Wat links over multiple gateways
http://www.clintoneast.com/articles/multihomed.php
http://www.linuxhomenetwo...:_Ch03_:_Linux_Networking
http://linux-ip.net/html/adv-multi-internet.html

Waarom zou je 2 keer moeten natten? Je firewall hoeft niet meer te natten. Wel kan je natuurlijk minder firewalling doen omdat je de source ip informatie kwijt bent natuurlijk.

woensdag 21 oktober 2009 12:47

Acties:

battler

Topicstarter

Ik ga er vanmiddag even mee stoeien, ik ben zelf niet bekend met de situatie dus op locatie kan ik beter inschatten wat er nu precies moet gebeuren. In ieder geval allemaal bedankt voor de hulp.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 21 oktober 2009 21:07

Acties:

battler

Topicstarter

Vanmiddag/avond even langs geweest en situatie is duidelijk. Alleen het volgende moet gebeuren.

- TAG data van bepaalde interface
- TAG data moet bepaalde route table uitvoeren.

Helaas is het bovenstaande niet gelukt. Het is voor mij niet duidelijk hoe ik kan zien welke data getagged is. De data komt gewoon binnen op de destination maar ik zie geen TAG data met wireshark o.i.d.
Doordat ik niet weet of de data wel goed getagged wordt kom ik niet eens toe aan het volgende probleem van meerdere route tabellen.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 21 oktober 2009 21:15

Acties:

DukeBox

Probleem is dat je eigenlijk 2 kanten op moet NAT-en naar 2 interfaces/ip's op je interne server en dan moet de NAT engine de 'crossings' bijhouden (A&B <-> C&D) denk niet dat dat mogelijk is met iptables aangezien die uiteindelijk gewoon naar de route tabel kijkt om te forwarden/translaten.

[ Voor 8% gewijzigd door DukeBox op 21-10-2009 21:17 ]

woensdag 21 oktober 2009 21:16

Acties:

battler

Topicstarter

Ik kan met SNAT toch de originele data er terug zetten?

[ Voor 13% gewijzigd door battler op 21-10-2009 21:17 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 21 oktober 2009 21:18

Acties:

DukeBox

SNAT = ? verschilt per merk firewall/router. (secure nat ?)

[ Voor 43% gewijzigd door DukeBox op 21-10-2009 21:19 ]

woensdag 21 oktober 2009 21:21

Acties:

battler

Topicstarter

SNAT; Static NAT, Maar bij nader inzien gaat dit me geen stap verder helpen volgens mij.
Niemand ervaring met taggen van data en a.d.h.v die data een aparte route tabel inproppen?

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 21 oktober 2009 21:30

Acties:

DukeBox

Het zou wel op de volgende manier kunnen met 2 interne ip's op je firewall:
extern ip1 naar intern ip1 natten en omgekeerd
extern ip2 naar intern ip2 natten en omgekeerd

In dat geval komt al het externe verkeer via intern ip1 of 2 binnen voor je interne server.

Nadeel is wel dat voor uitgaande sessies je maar 1 van de 2 interne nat's als def. gateway kan opgeven (evt. middels round robbin 'balancen') maar inkomend gaat er wel uit waar het vandaan kwam.

1.2.3.4 <-NAT both directions-> 192.168.0.1 <-> 192.168.0.3
5.6.7.8 <-NAT both directions-> 192.168.0.2 <-----------^

[ Voor 31% gewijzigd door DukeBox op 21-10-2009 21:34 ]

maandag 26 oktober 2009 23:30

Acties:

battler

Topicstarter

Ik heb het werkend! Als iemand in het vervolg ook zoiets wilt, this is how to:

- MARK data met iptables.
iptables -t mangle -A OUTPUT -o eth0 -p icmp -d 4.2.2.2 -j MARK --set-mark 0x1
*Hier wordt dus al het uitgaande icmp verkeer naar ip 4.2.2.2 gemarked.

Maak extra route tabel in /etc/iproute2/rt_tables
vb: 100 ICMPOUT

Maak een rule aan voor de route tabel.
ip rule add prio 199 fwmark 0x1 lookup ICMPOUT
*Nu wordt al het gemarkte verkeer naar route tabel ICMPOUT gestuurd.

Misschien nog een aparte route maken in deze route tabel
ip route add default via 219.88.160.1 table ICMPOUT

Helaas heb ik alleen nog kunnen testen in mijn thuis situatie, maar hier doet het wel precies wat ik ervan verwacht. Aankomende woensdag in de live situatie testen.

[ Voor 12% gewijzigd door battler op 26-10-2009 23:31 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

dinsdag 27 oktober 2009 07:05

Acties: