Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Iptables. Непонятный дроп пакетов.  (Прочитано 388 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Omahi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Iptables. Непонятный дроп пакетов.
« : 23 Сентябрь 2016, 14:41:18 »
Здравствуйте!

Есть сервер OpenVPN, на нем же прописаны следующие правила iptables:

Chain FORWARD (policy DROP 7695 packets, 451K bytes)
 pkts bytes target     prot opt in     out     source               destination         
2025K 1192M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
10986 2053K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW udp spts:10000:20000
13389 8361K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW udp dpt:5060
    1    58 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW udp spt:5060
 2955  182K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW udp dpt:53
   71  4260 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcp dpt:80
   99  7524 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW udp dpt:123
 7265  407K LOG        all  --  tun0   *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "IPDROP: "
  430 43744 LOG        all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "IPDROP: "

Через туннель VPN проложен маршрут в подсеть за VPN сервером и удаленные SIP-телефоны регистрируются на сервере Asterisk, который в той подсети и находится. С вышеуказанными правилами из 5-ти тестируемых телефонов авторизуются только 2, причем случайным образом. Как только я сбрасываю правила Iptables - регистрируются все. Применяю правила после регистрации - все работают, всех слышно.

Последние два правила не отражают в логах никакой информации о неуспешных попытках удаленных абонентов пробиться за VPN сервер к Asterisk. Равно как и tcpdump по всем интерфейсам на сервере OpenVPN ничего не отображает. В то-же самое время клиенты видят сервер OpenVPN. Такое ощущение, что iptables просто не пускает их через FORWARD.

Подсткажите куда копнуть.

PS: С правилами Iptables экспериментировал по-всякому: порты 10000:20000 и 5060 открывал по всем интерфейсам, во все стороны и по TCP и по UDP. Результат один и тот-же.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #1 : 23 Сентябрь 2016, 15:05:23 »
все правила не покажете? А интерфейсы?
ip a; sudo ipatbles-save
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Omahi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #2 : 23 Сентябрь 2016, 15:12:44 »
Да да, конечно

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:f6:62:89 brd ff:ff:ff:ff:ff:ff
    inet 192.168.121.204/24 brd 192.168.121.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fef6:6289/64 scope link
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.10.0.1 peer 10.10.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever

# Generated by iptables-save v1.4.21 on Fri Sep 23 15:13:25 2016
*nat
:PREROUTING ACCEPT [91749:6633425]
:INPUT ACCEPT [42:2396]
:OUTPUT ACCEPT [792:47687]
:POSTROUTING ACCEPT [65:8372]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Sep 23 15:13:25 2016
# Generated by iptables-save v1.4.21 on Fri Sep 23 15:13:25 2016
*filter
:INPUT DROP [96293:6919831]
:FORWARD DROP [8635:503660]
:OUTPUT ACCEPT [10550:10790711]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --dport 5900:5910 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --sport 5900:5910 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --sport 10000:20000 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --dport 10000:20000 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --sport 443 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --dport 5060 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --dport 5060 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --sport 5060 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --sport 5060 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --sport 53 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp --sport 80 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --dport 123 -j ACCEPT
-A FORWARD -p udp -m conntrack --ctstate NEW -m udp --sport 123 -j ACCEPT
-A FORWARD -i tun0 -j LOG --log-prefix "IPDROP: "
-A FORWARD -i eth0 -j LOG --log-prefix "IPDROP: "
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:61000 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:61000 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
COMMIT
# Completed on Fri Sep 23 15:13:25 2016
# Generated by iptables-save v1.4.21 on Fri Sep 23 15:13:25 2016
*mangle
:PREROUTING ACCEPT [3397736:2360599571]
:INPUT ACCEPT [1255321:1141966069]
:FORWARD ACCEPT [2122243:1217493247]
:OUTPUT ACCEPT [661314:119740858]
:POSTROUTING ACCEPT [2771704:1335413810]
COMMIT
# Completed on Fri Sep 23 15:13:25 2016


И да, прошу прощения, tcpdump все-таки ловит попытку регистрации. Пропустил по невнимательности. Сейчас с этого ip регистрация не осуществляется. Только после сброса правил.
15:05:54.691473 IP (tos 0x68, ttl 63, id 0, offset 0, flags [DF], proto UDP (17), length 634)
    192.168.1.16.5060 > 192.168.121.205.5060: [udp sum ok] SIP, length: 606
REGISTER sip:192.168.121.205:5060 SIP/2.0
« Последнее редактирование: 23 Сентябрь 2016, 15:19:47 от Omahi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #3 : 23 Сентябрь 2016, 15:49:17 »
lsmod | grep "sip\|h323"
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Omahi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #4 : 23 Сентябрь 2016, 18:41:35 »
fisher74,
Вывод lsmod | grep "sip\|h323" пуст, но ведь эта машина просто VPN сервер, там нет ничего связанного с IP телефонией.
Через нее форвардятся пакеты из туннеля в локальную сеть.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #5 : 23 Сентябрь 2016, 19:03:16 »
Конечно, просто OVPN и
-A POSTROUTING -o eth0 -j MASQUERADE
.. просто nat в сторону сервера sip.
Действительно, о чём разговор-то?...
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Omahi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #6 : 23 Сентябрь 2016, 20:23:36 »
 :-[ Мда. Спасибо!

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #7 : 23 Сентябрь 2016, 20:46:29 »
Сделайте свой вклад в развитие форума: осветите для последователей как решили проблему.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Omahi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #8 : 23 Сентябрь 2016, 21:08:02 »
Пока только убрал маскарадинг.
Удаленщики все отключены уже, так что тесты продолжу завтра, по результатам отпишусь здесь.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #9 : 23 Сентябрь 2016, 21:37:55 »
ОК, ждём-с
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Omahi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Iptables. Непонятный дроп пакетов.
« Ответ #10 : 24 Сентябрь 2016, 21:26:30 »
Да дейстивтельно, маскарадинг мешал нормальной регистрации SIP клиентов. Спасибо за внимательность. Я как уперся в FORWARD, а в NAT глянуть даже в голову не пришло.
« Последнее редактирование: 26 Сентябрь 2016, 21:25:49 от Omahi »

 

Страница сгенерирована за 0.058 секунд. Запросов: 25.