Iptables - DNAT. Фильтрация по source и destination ip

[a.guzhin]

Имеется шлюз на базе Ubuntu Server 12.04
За шлюзом расположен сервер Asterisk1, который SIP-транком должен соединяться с другим Asterisk2 с фиксированным IP.

На шлюзе созданы два правила DNAT для SIP и RTP:

Код: [Выделить]

iptables -t nat -A PREROUTING -p udp -d 11.11.11.1 -s 22.22.22.1 -m udp --dport 10000:20000 -j DNAT --to-destination 10.0.0.1:10000-20000
iptables -t nat -A PREROUTING -p udp -d 11.11.11.1 -s 22.22.22.1 -m udp --dport 5060 -j DNAT --to-destination 10.0.0.1:5060

В логах Asterisk1 вижу попытки регистрации с других адресов сети.

В дампах шлюза:

Код: [Выделить]

1 82.205.2.2 11.11.11.1 SIP/SDP 798 Request: INVITE sip:997109@11.11.11.1 |
2 82.205.2.2 10.0.0.1 SIP/SDP 798 Request: INVITE sip:997109@11.11.11.1 |
3 10.0.0.1 82.205.2.2 SIP 595 Status: 401 Unauthorized |

Т.е. пакеты проходят с любого IP.
В чем может быть ошибка?

[fisher74]

В чем может быть ошибка?

В понимании работы netfilter, например

Нельзя говорить о его работе по 1-2 правилам.
Показывайте все правила

Код: [Выделить]

sudo iptables-save

[a.guzhin]

Код: [Выделить]

# Generated by iptables-save v1.4.12
*mangle
:PREROUTING ACCEPT [9924088:4599974142]
:INPUT ACCEPT [3633718:975013854]
:FORWARD ACCEPT [6278598:3621808382]
:OUTPUT ACCEPT [4406482:3302821348]
:POSTROUTING ACCEPT [10684409:6924561460]
COMMIT
*nat
:PREROUTING ACCEPT [430491:324946357]
:INPUT ACCEPT [47741:2929974]
:OUTPUT ACCEPT [6909:481850]
:POSTROUTING ACCEPT [57611:3390207]
-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 22.22.22.1/32 -d 11.11.11.1/32 -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 10.0.0.1:10000-20000
-A PREROUTING -s 22.22.22.1/32 -d 11.11.11.1/32 -p udp -m udp --dport 5060 -j DNAT --to-destination 10.0.0.1:5060
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [322491:318276416]
:FORWARD ACCEPT [6278598:3621808382]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
COMMIT


[AnrDaemon]

a.guzhin, вас что попросили показать?
А что показали вы?

[a.guzhin]

AnrDaemon, не было сервера под рукой, выложил то, что было - бекап скрипта, настраивающего правила.
Поправил свое предыдущее сообщение

[AnrDaemon]

Лучше не стало. В шпионов играться можно долго.

Код: [Выделить]

-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2Вот это что должно означать?

Код: [Выделить]

:OUTPUT DROP [0:0]Ошибка.

Код: [Выделить]

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT-state +conntrack
Плюс нарушена логика построения правил. Третье должно быть первым, ну или вторым.

Код: [Выделить]

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPTБессмысленно и ненужно.

[a.guzhin]

Лучше не стало. В шпионов играться можно долго.

Код: [Выделить]

-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 53 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 77.XXX.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -s 89.YYY.XXX.XXX/32 -i eth0 -p 56 -j DNAT --to-destination 10.0.0.2Вот это что должно означать?

Что дадут реальные IP?
Здесь весь трафик серверов 77.XXX.XXX.XXX, 89.YYY.XXX.XXX, 89.XXX.XXX.XXX по протоколам 53 и 56 уходит на сервер 10.0.0.2 - аппаратный VPN шлюз.

Код: [Выделить]

:OUTPUT DROP [0:0]Ошибка.

Код: [Выделить]

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT-state +conntrack
Плюс нарушена логика построения правил. Третье должно быть первым, ну или вторым.

state заменю на conntrack, правило подниму выше.
Только в чем нарушение логики? Больше правил будет проверено?

Код: [Выделить]

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPTБессмысленно и ненужно.

Действие по умолчанию в цепочке OUTPUT - DROP, если бы стоял ACCEPT, то да.

[AnrDaemon]

DROP в OUTPUT это ошибка.