Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

iptables port forward naar dhcp client op bridge interface

Pagina: 1
Acties:

zondag 30 december 2012 14:00

Acties:

Verwijderd

Topicstarter
Hoi allen,

Ik zit wat in de moeilijkheden met men iptables. Om een korte schets te geven:

KVM server (debian) met 1 NIC, 2 IP's.
IP1 wordt gebruikt als external NIC & IP2 wordt gebruikt als passthrough voor de bridge. Er is een DHCP server actief die internal IP uitdeelt aan de KVM machines.
IP1: 5.9.82.xx/32
IP2: 5.9.175.xx/32
Bridge: br64
DHCP Range: 172.30.64.0/24
LAN IP1: 172.30.64.10
LAN IP2: 172.30.64.11

VM's krijgen een IP van DHCP en kunnen op internet.
Nu zou ik nog graag bereiken dat ik een NAT regel kan opzetten zodanig VM's ook van buiten af bereikbaar zijn.
Ik zou willen bereiken dat ik van IP2 -> LANIP2 op poort 80 bvb kan bereiken.

/etc/network/interfaces
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

auto lo
iface lo inet loopback

# device: eth0
auto  eth0
iface eth0 inet static
        address 5.9.82.xx
        netmask 255.255.255.255
        gateway 5.9.82.33
        pointopoint 5.9.82.33
        post-up iptables-restore < /etc/iptables.up.rules
  # broadcast 5.9.82.63
  # default route to access subnet
  # up route add -net 5.9.82.32 netmask 255.255.255.224 gw 5.9.82.33 eth0

auto br64
iface br64 inet static
  address 172.30.64.1
  netmask 255.255.255.0
  pre-up brctl addbr $IFACE
  post-up route add -host 5.9.175.xx $IFACE
  post-down brctl delbr $IFACE

iface eth0 inet6 static
  address 2a01:4f8:162:23::2
  netmask 64
  gateway fe80::1


/etc/iptables.up.rules
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

# Generated by iptables-save v1.4.8 on Sat Dec 29 21:47:09 2012
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 172.30.64.0/24 -o eth0 -j SNAT --to-source 5.9.82.xx
-A PREROUTING -p tcp -m tcp -d 5.9.175.xx --dport 80 --sport 80 -j DNAT --to-destination 172.30.64.11:80
COMMIT
# Completed on Sat Dec 29 21:47:09 2012
# Generated by iptables-save v1.4.8 on Sat Dec 29 21:47:09 2012
*mangle
:PREROUTING ACCEPT [94984:132333752]
:INPUT ACCEPT [21877:7719692]
:FORWARD ACCEPT [73107:124614060]
:OUTPUT ACCEPT [24744:16807423]
:POSTROUTING ACCEPT [97851:141421483]
COMMIT
# Completed on Sat Dec 29 21:47:09 2012
# Generated by iptables-save v1.4.8 on Sat Dec 29 21:47:09 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p udp -m udp -i virbr1 --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp -i virbr1 --dport 53 -j ACCEPT
-A INPUT -p udp -m udp -i virbr1 --dport 67 -j ACCEPT
-A INPUT -p tcp -m tcp -i virbr1 --dport 67 -j ACCEPT
-A INPUT -p udp -m udp -i br+ --dport 67 -j ACCEPT
-A FORWARD -d 172.30.64.208/29 -o virbr1 -j ACCEPT
-A FORWARD -s 172.30.64.208/29 -i virbr1 -j ACCEPT
-A FORWARD -i virbr1 -o virbr1 -j ACCEPT
-A FORWARD -o virbr1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 5.9.175.xx/32 -i br+ -o eth0 -j ACCEPT
-A FORWARD -s 172.30.64.0/24 -i br+ -o eth0 -j ACCEPT
-A FORWARD -s 5.9.175.xx/32 -d 5.9.175.60/32 -i br+ -o br+ -j ACCEPT
-A FORWARD -s 172.30.64.0/24 -d 5.9.175.60/32 -i br+ -o br+ -j ACCEPT
-A FORWARD -d 5.9.175.xx/32 -i eth0 -o br+ -j ACCEPT
-A FORWARD -p tcp -m tcp -m state -d 172.30.64.11 -i eth0 -o br64 --dport 80 --sport 80 --state NEW -j ACCEPT
-A FORWARD -j DROP
COMMIT
# Completed on Sat Dec 29 21:47:09 2012


Ik heb al ettelijke howto's en man pages doorlezen maar ik geraak er niet direct uit. Kan me iemand een duwtje in de juiste richting geven?

zondag 30 december 2012 14:02

Acties:
  • blaataaps
  • Registratie: Juli 2001
  • Niet online

blaataaps

Wat werkt er precies niet? Heb je ip-forwarding aangezet?

zondag 30 december 2012 14:04

Acties:

Verwijderd

Topicstarter
Van extern naar LANIP2 op poort 80 webpage benaderen.
Yup ip forwarding staat aan in /etc/sysctl.conf

zondag 30 december 2012 14:05

Acties:
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Misschien is het handiger als je een extra virtuele NIC gebruikt voor dat extra verkeer. 2 IP's op een interface en dan routeren enz. is niet onmogelijk, maar het maakt je leven wel 10x moeilijker.

zondag 30 december 2012 14:12

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:03

Hero of Time

Moderator LNX

There is only one Legend

Draai tcpdump op de webserver en je router. Voer dan een webrequest uit zodat je naar je webserver gaat van buitenaf. Wat zie je op de beide machines gebeuren?

Commandline FTW | Tweakt met mate

zondag 30 december 2012 18:29

Acties:

Verwijderd

Topicstarter
Hero Of Time schreef op zondag 30 december 2012 @ 14:12:
Draai tcpdump op de webserver en je router. Voer dan een webrequest uit zodat je naar je webserver gaat van buitenaf. Wat zie je op de beide machines gebeuren?
Enkel op de host zie ik een inkomende connectie op poort 80 op IP2. De webserver krijgt geen connecties.
Ik zie in de tcpdump wel een connectie naar het lan ip 172.30.64.11 maar toch geen connecties te zien in de tcpdump van de webserver. (tcpdump werkt want een connectie tussen de host & de vm's toont gegevens)

tcpdump KVM host
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49

root@root ~ # tcpdump port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
18:23:14.404705 IP root.anvarit.net.49179 > a23-14-93-213.deploy.akamaitechnologies.com.www: Flags [F.], seq 1971526364, ack 90XX48074, win 253, length 0
18:23:14.410502 IP a23-14-93-213.deploy.akamaitechnologies.com.www > root.anvarit.net.49179: Flags [F.], seq 1, ack 1, win 7836, length 0
18:23:14.410784 IP root.anvarit.net.49179 > a23-14-93-213.deploy.akamaitechnologies.com.www: Flags [.], ack 2, win 253, length 0
18:23:22.251206 IP openvpn.anvarit.net.3016 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 975524730, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:22.501943 IP openvpn.anvarit.net.41828 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 2575033127, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:25.252436 IP openvpn.anvarit.net.3016 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 975524730, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:25.50XX11 IP openvpn.anvarit.net.41828 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 2575033127, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:31.254614 IP openvpn.anvarit.net.3016 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 975524730, win 8192, options [mss 1268,nop,nop,sackOK], length 0
18:23:31.502481 IP openvpn.anvarit.net.41828 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 2575033127, win 8192, options [mss 1268,nop,nop,sackOK], length 0
18:23:36.XX3773 IP root.anvarit.net.49176 > a77.109.171-66.deploy.akamaitechnologies.com.www: Flags [F.], seq 893390756, ack 1415XX6368, win 256, length 0
18:23:36.610381 IP a77.109.171-66.deploy.akamaitechnologies.com.www > root.anvarit.net.49176: Flags [F.], seq 1, ack 1, win 8372, length 0
18:23:36.610678 IP root.anvarit.net.49176 > a77.109.171-66.deploy.akamaitechnologies.com.www: Flags [.], ack 2, win 256, length 0
18:23:40.710915 IP 131.253.37.1.www > root.anvarit.net.49165: Flags [R.], seq 592146801, ack 3597445717, win 0, length 0
18:23:43.252584 IP openvpn.anvarit.net.29391 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 955927978, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:43.501194 IP openvpn.anvarit.net.41627 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 252709113, win 8192, options [mss 1268,nop,wscale 2,nop,nop,sackOK], length 0
18:23:43.504303 IP openvpn.anvarit.net.63128 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 1415837010, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:43.509242 IP openvpn.anvarit.net.12328 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 3404322004, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:45.495818 IP root.anvarit.net.49169 > a23-14-93-215.deploy.akamaitechnologies.com.www: Flags [F.], seq 2411514775, ack 3537916335, win 1022, length 0
18:23:45.49XX47 IP root.anvarit.net.49168 > 64.4.21.39.www: Flags [F.], seq 1593966881, ack 3899782653, win 65535, length 0
18:23:45.4962XX IP root.anvarit.net.49167 > 65.55.239.146.www: Flags [F.], seq 3563223490, ack 3091765079, win 65535, length 0
18:23:45.496546 IP root.anvarit.net.49163 > a77.109.171-17.deploy.akamaitechnologies.com.www: Flags [F.], seq 1504959616, ack 3634XX5253, win 1024, length 0
18:23:45.496775 IP root.anvarit.net.49164 > a77.109.171-17.deploy.akamaitechnologies.com.www: Flags [F.], seq 761572553, ack 1569875663, win 1024, length 0
18:23:45.497009 IP 172.30.64.11.49166 > a77.109.171-17.deploy.akamaitechnologies.com.www: Flags [R.], seq 2678180847, ack 3838890XX, win 0, length 0
18:23:45.502000 IP a23-14-93-215.deploy.akamaitechnologies.com.www > root.anvarit.net.49169: Flags [F.], seq 1, ack 1, win 7836, length 0
18:23:45.502253 IP root.anvarit.net.49169 > a23-14-93-215.deploy.akamaitechnologies.com.www: Flags [.], ack 2, win 1022, length 0
18:23:45.502935 IP a77.109.171-17.deploy.akamaitechnologies.com.www > root.anvarit.net.49163: Flags [F.], seq 1, ack 1, win 15717, length 0
18:23:45.503171 IP root.anvarit.net.49163 > a77.109.171-17.deploy.akamaitechnologies.com.www: Flags [.], ack 2, win 1024, length 0
18:23:45.503649 IP a77.109.171-17.deploy.akamaitechnologies.com.www > root.anvarit.net.49164: Flags [F.], seq 1, ack 1, win 8812, length 0
18:23:45.503982 IP root.anvarit.net.49164 > a77.109.171-17.deploy.akamaitechnologies.com.www: Flags [.], ack 2, win 1024, length 0
18:23:45.591502 IP 65.55.239.146.www > root.anvarit.net.49167: Flags [F.], seq 1, ack 1, win 8190, length 0
18:23:45.591755 IP root.anvarit.net.49167 > 65.55.239.146.www: Flags [.], ack 2, win 65535, length 0
18:23:45.652924 IP 64.4.21.39.www > root.anvarit.net.49168: Flags [F.], seq 1, ack 1, win 8190, length 0
18:23:45.653175 IP root.anvarit.net.49168 > 64.4.21.39.www: Flags [.], ack 2, win 65535, length 0
18:23:46.254897 IP openvpn.anvarit.net.29391 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 955927978, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:46.504015 IP openvpn.anvarit.net.63128 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 1415837010, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:46.511424 IP openvpn.anvarit.net.12328 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 3404322004, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:23:52.250235 IP openvpn.anvarit.net.29391 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 955927978, win 8192, options [mss 1268,nop,nop,sackOK], length 0
18:23:52.508217 IP openvpn.anvarit.net.12328 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 3404322004, win 8192, options [mss 1268,nop,nop,sackOK], length 0
18:23:52.508246 IP openvpn.anvarit.net.63128 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 1415837010, win 8192, options [mss 1268,nop,nop,sackOK], length 0
18:24:04.512486 IP openvpn.anvarit.net.59183 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 1018401624, win 8192, options [mss 1268,nop,wscale 2,nop,nop,sackOK], length 0
18:24:04.522184 IP openvpn.anvarit.net.43627 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 1240757129, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
18:24:07.518793 IP openvpn.anvarit.net.43627 > static.XX.175.9.5.clients.your-server.de.www: Flags [S], seq 1240757129, win 8192, options [mss 1268,nop,wscale 8,nop,nop,sackOK], length 0
^C
42 packets captured
42 packets received by filter
0 packets dropped by kernel

zondag 30 december 2012 18:30

Acties:

Verwijderd

Topicstarter
johnkeates schreef op zondag 30 december 2012 @ 14:05:
Misschien is het handiger als je een extra virtuele NIC gebruikt voor dat extra verkeer. 2 IP's op een interface en dan routeren enz. is niet onmogelijk, maar het maakt je leven wel 10x moeilijker.
klopt zou een heel pak handiger zijn :) maar ik beschikbaar maar over 2 IP's voor de host en alle VM's. Dus een bridge met routing en interne lan ip's was de enigste mogelijkheid.

zondag 30 december 2012 20:41

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:03

Hero of Time

Moderator LNX

There is only one Legend

Door je tcpdump, desnoods met -v of -vvv voor meer info, kan je een beter beeld krijgen van je iptables regels en wat je mogelijk moet aanpassen om 't te laten werken. Check ook de logs, kijk of je iptables kan laten loggen met wat 't doet.

Commandline FTW | Tweakt met mate

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq