Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: При настройке GRE вылезли проблемы с iptables  (Прочитано 1185 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Доброго дня, уважаемое сообщество.

Столкнулся с проблемой в настройках gre туннеля. Есть шлюз на Ubuntu 16.04 и шлюз сборка ИКС на основе FreeBSD. Всё настроено и работает уже не первый день, но тут захотелось мне писать быкапы из сети за убунтой в сеть за фряхой. Поднял для теста простой GRE без шифрования - пакеты с фряхи в сеть за убунтой ходят, а наоборот нет. Начал грешить на маршрутизацию в убунте и ковырять что и куда.
На машине крутится dns+dhcp, unifi контрелер и ненастроеный squid
Итог - в цепочках iptables присутствуют адреса, которые не задавались. При этом пользователи всё так же ходят в интернет.
Что выгрузилось при iptables-save
(Нажмите, чтобы показать/скрыть)

192.168.8.0/21 вылез непонятно откуда

Скрипт iptables
(Нажмите, чтобы показать/скрыть)

Интерфейсы
(Нажмите, чтобы показать/скрыть)

При прозвоне внешнего адреса наружу смотрит только 22 порт, остальные Connection refused
# netcat -v -w 4 -z 85.*.*.212 1-1023 | grep succeed
Connection to 85.*.*.212 22 port [tcp/ssh] succeeded!


Подскажите, с чего идёт подмена адреса в iptables?
« Последнее редактирование: 12 Ноября 2016, 21:29:06 от ZombieTroll »
Делай, что должен и будь, что будет.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #1 : 11 Ноября 2016, 20:56:31 »
Скрипты себе оставьте.
Показывайте
ip a; ip -s l; ip r s table all type unicast; iptables-saveс обоих шлюзов.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #2 : 11 Ноября 2016, 21:26:53 »
с обоих шлюзов.

С обоих не выйдет - к фряхе только по веб-морде и выполнить там команду не получится

с убунты
(Нажмите, чтобы показать/скрыть)

Всё что мне смогли сказать до того, как сюда написал - это снеси всё и поставить заново, а хотелось бы понять в чём косяк и больше так не косячить
« Последнее редактирование: 12 Ноября 2016, 09:33:19 от Nekota »
Делай, что должен и будь, что будет.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #3 : 12 Ноября 2016, 00:36:19 »
С обоих не выйдет
Тогда как предполагается отлаживать проблему?…
с убунты
Ещё раз то же самое, на этот раз не покромсаным на кусочки.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #4 : 12 Ноября 2016, 09:20:59 »
Тогда как предполагается отлаживать проблему?…

Вопрос был про iptables. Я конечно не так шарю в вопросе, как вы, но как один шлюз может гадить в правила фаервола другого шлюза?
С маршрутизацией всё нормально, беспокоят непонятки с iptables

Ещё раз то же самое, на этот раз не покромсаным на кусочки.

Поправил. С телефона вчера скидывал, а видимо не стоило
« Последнее редактирование: 12 Ноября 2016, 15:06:20 от Nekota »
Делай, что должен и будь, что будет.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #5 : 12 Ноября 2016, 18:43:05 »
Без информации с обоих шлюзов проблема не решаема.
И почему обязательно iptables? Может, машины за вторым шлюзом не знают, куда ваш трафик гнать? Или адреса в сетях пересекаются?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #6 : 12 Ноября 2016, 18:57:10 »
При чём тут трафик? С туннелем я и сам разобрался. Вопрос про вывод iptables
-A INPUT -s 192.168.8.0/21 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.8.0/21 -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT

Сеть 192.168.8.0/21 вообще непонятно откуда берётся, локальная сеть располагается по адресу 192.168.10.0/21 и правила писались именно под неё. Вопрос откуда это 192.168.8.0/21 берётся в выводе правил?
Делай, что должен и будь, что будет.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #7 : 12 Ноября 2016, 19:18:45 »
Это к вам вопрос. Не я эти правила писал. И система ваша.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #8 : 12 Ноября 2016, 19:27:15 »
Не я эти правила писал

Так для этого я скрипт iptables и выкладывал, но
Скрипты себе оставьте.

Делай, что должен и будь, что будет.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #9 : 12 Ноября 2016, 19:31:56 »
Вот у себя откройте свой скрипт и смотрите, есть там такие или похожие строчки, или нет?…
Возможно, эти правила добавляются, когда поднимается tun0, тогда надо смотреть в /etc/ppp/ip-up.d/
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #10 : 12 Ноября 2016, 19:47:49 »
Вот у себя откройте свой скрипт и смотрите, есть там такие или похожие строчки, или нет?…
Возможно, эти правила добавляются, когда поднимается tun0, тогда надо смотреть в /etc/ppp/ip-up.d/

В скрипте подобного нет, уже по символам его разобрал. Туннель тоже вроде не влияет, по крайней мере если убрать tun0 из загрузки, то ничего не меняется - строка всё так же выводится. Самое удивительное, что у меня эта подсеть в принципе не используется и не могу понять откуда она в правилах берётся. Учитывая, что в интернет клиенты ходят без всяких проблем, то применяются правильные правила, но почему выводятся неправильные?

В /etc/ppp/ip-up.d/ лежит два файла 000resolvconf и bind9, в содержимом которых не замечено ничего похожего на непонятную подсеть
Делай, что должен и будь, что будет.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #11 : 12 Ноября 2016, 21:31:54 »
iptables-save выводит текущие действующие правила. А не "правильные" или "неправильные".
Ищите, смотрите, проверяйте. Хоть grep -r "192.168.8" /etc запустите, для начала.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #12 : 13 Ноября 2016, 10:10:16 »
Ищите, смотрите, проверяйте. Хоть grep -r "192.168.8" /etc запустите, для начала.

Пробовал, ничего не выводит


iptables-save выводит текущие действующие правила. А не "правильные" или "неправильные".

Ошибся в изложении мысли. Суть от этого мало меняется - действуют правила, которые грузятся с конфига, а вывод какой-то лажовый. Если бы действовали правила, которые выводятся при iptables-save, пользователи не ходили бы в интернет и не шёл бы трафик через туннель.
« Последнее редактирование: 13 Ноября 2016, 10:23:23 от ZombieTroll »
Делай, что должен и будь, что будет.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #13 : 13 Ноября 2016, 12:12:15 »
Честно говоря, хотел вникнуть в проблему и помочь, но начав разбираться в Вашей адресации понял, что там полный швах. Сплошное наложение:
сеть туннеля 192.168.0.0/16
локальная сеть 192.168.0.0/20
удалённая сеть 192.168.9.0/24

Сначала разберитесь в адресации, а потом уже лезьте более глубоко.

Оффлайн ZombieTroll

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
  • Увидел, перебрал, сломал
    • Просмотр профиля
Re: При настройке GRE вылезли проблемы с iptables
« Ответ #14 : 13 Ноября 2016, 14:24:46 »
Сначала разберитесь в адресации, а потом уже лезьте более глубоко.

Полез смотреть маршрутизацию (с ней вообще всё в порядке было, но проверить лишним не будет) и пришёл к выводу, что надо всё снести и поставить с нуля

# route
(Нажмите, чтобы показать/скрыть)

# ip r s table all type unicast
(Нажмите, чтобы показать/скрыть)

оно (192.168.8.0/21) уже всюду
интерфейсы
(Нажмите, чтобы показать/скрыть)
В других местах найтройки маршрутов не писал. По какой-то причине идёт замена 192.168.10.0/21 на 192.168.8.0/21

Честно говоря, хотел вникнуть в проблему и помочь, но начав разбираться в Вашей адресации понял, что там полный швах. Сплошное наложение:
сеть туннеля 192.168.0.0/16
локальная сеть 192.168.0.0/20
удалённая сеть 192.168.9.0/24

Сеть туннеля 192.168.1.0.24, а откуда вы его взяли 192.168.0.0/16 не понял. Относительно локальной сети поправил маску с 20 на 21 и теперь вместо 192.168.0.0/20 выдаёт 192.168.8.0/21. Отказываюсь понимать, как это возможно
« Последнее редактирование: 13 Ноября 2016, 14:26:43 от ZombieTroll »
Делай, что должен и будь, что будет.

 

Страница сгенерирована за 0.039 секунд. Запросов: 25.