Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: iptables REDIRECT --to-ports  (Прочитано 2547 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
iptables REDIRECT --to-ports
« : 04 Июль 2017, 14:35:29 »
Доброго ВС! Возникли сложности в настройке iptables.
Ситуация такая: есть приложение, которое слушает порт 999, и разбирает приходящие заголовки tcp/ip...(напр redsocks; тоесть порт/адрес назначения менять нельзя). Хочу сделать так, чтобы это приложение обрабатывало только проходящие (FORWARD) пакеты. Я попытался сделать так: в mangle FORWARD ставлю метку (mark), а на nat POSTROUTING для всех отмеченых пакетов вызывал -j REDIRECT --to-ports 999, но редиректить можно только в цепочках PREROUTING и OUTPUT. Из этого следует, что для реализации такой системы нужно знать, что пакет уйдет в цепочку FORWARD, еще до того, как он покинул nat PREROUTING ? Для redsocks предлагается перенаправлять все пакеты из подсети на цепочке PREROUTING, что не очень подходит, если адрес сети каждый раз другой (dhcp) . Возможно я чтото упустил в манах.Буду благодарен за помощь.

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #1 : 05 Июль 2017, 19:54:57 »
С документации по iptables:
При перенаправлении целевой IP-адрес пакета меняется на основной адрес интерфейса отправки (локальным пакетам присваивается 127.0.0.1).

Каким тогда образом redsocks узнает о изначальном адресе назначения, если при перенаправлении он меняется?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #2 : 06 Июль 2017, 16:55:51 »
iptables штука сложная. Именно поэтому карта, обычно приводимая здесь, отмечена как "simplified" - упрощённая.
Возможно, будет проще что-то советовать, если вы опишете конечную цель ваших мытарств?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #3 : 06 Июль 2017, 23:24:32 »
Возможно, будет проще что-то советовать, если вы опишете конечную цель ваших мытарств?

Собственно все это ради красивого (на сколько это возможно) прокси сервера для локальной сети.
К серверу будут обращатся компьютеры с локальной сети, как к шлюзу. Весь этот (FORWARD/проходящий) трафик нужно направить в redsocks.

Вот, что предлагают в мануале по настройке redsocks:

(Нажмите, чтобы показать/скрыть)

Но чтото мне подсказало, что это не совсем красиво
И вот, что попытался сделать я:
iptables -t mangle -A FORWARD -p tcp -j MARK --set-mark 101
iptables -t mangle -A FORWARD -p udp -j MARK --set-mark 101

iptables -t nat -A POSTROUTING -p tcp -m mark --mark 101 -j REDIRECT --to-ports 31338
iptables -t nat -A POSTROUTING -p udp -m mark --mark 101 -j REDIRECT --to-ports 31338
В ответ получил:
x_tables: ip_tables: REDIRECT target: used from hooks POSTROUTING, but only usable from PREROUTING/OUTPUT
ЗЫ: Как же не хочется лезть в исходники...
« Последнее редактирование: 06 Июль 2017, 23:30:09 от cyber_eagle »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #4 : 07 Июль 2017, 15:21:49 »
Ещё раз - какая конечная цель. Прокси-сервер это не цель, это средство.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #5 : 07 Июль 2017, 23:02:26 »
За redsocks будет что угодно: напр запрос socks5 к 190.228.33.114:8080 и тп.
Обход ограничений провайдера...сокрытие трафика пользователей от КГБ...
Я ведь не ищу инструкций, на какие кнопки нужно нажать, чтобы получилось Это.

Мне интересен метод решения разных задач на базе вышеописанного прокси сервера исключительно в образовательных целях. Также полезно узнать на сколько всеобъемлющий iptables и необходимость доработок в даном направлении.
« Последнее редактирование: 07 Июль 2017, 23:06:52 от cyber_eagle »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #6 : 08 Июль 2017, 00:21:01 »
Ну и как вы собрались скрывать трафик пользователей, установив прокси-сервер локально?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #7 : 08 Июль 2017, 17:25:55 »
Цитировать
запрос socks5 к 190.228.33.114:8080

*упаковать и отправить на внешний socks5 прокси

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #8 : 08 Июль 2017, 19:46:42 »
VPN. Внешний. Да.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #9 : 08 Июль 2017, 21:14:33 »
Ойойойо и Роджер сказал не отступать, и мы отчалили. С того времени весельчака никто не видел...
Мне кажется, мсье, что гораздо продуктивнее будет пропатчить iptables, или доказать, что это технически невозможно сделать. Как выяснилось, ув. Рассел не все учел в своем творении...

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #10 : 08 Июль 2017, 23:26:40 »
Т.е. прямое решение вас не устраивает, вам подавай костыли?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #11 : 09 Июль 2017, 00:24:33 »
Но ведь vpn это не решение изначально поставленной задачи с первого моего поста. Пример с прокси сервером я был вынужден привести.

Допустим я злостный хакер и хочу устроить mitm атаку на локальную сеть посредством arp спуфинга. Вот уже весь трафик между жертвой и шлюзом идет через мой девайс по цепочке forwarding. Крайне полезно было бы обрабатывать этот трафик в моем хитром приложении, которое заменит в тексте веб страниц все слова "windows" на "linux".
Это приложение открывает сокет и ждет трафик на 665 порту.
При этом использовать "REDIRECT --to-ports" в цепочке prerouting я не могу тккак тогда у меня пропадет интернет и я не смогу...скачать важное обновление системы :o

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #12 : 09 Июль 2017, 00:57:04 »
Первоначальная задача, как мы выяснили - скрыть трафик пользователей от провайдера.
Ответ - VPN.

Допустим я злостный хакер и хочу устроить mitm атаку на локальную сеть посредством arp спуфинга.
Это уже совершенно другая задача. И решается совершенно другими средствами.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн cyber_eagle

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #13 : 09 Июль 2017, 11:15:05 »
Цитировать
Ситуация такая: есть приложение, которое слушает порт 999, и разбирает приходящие заголовки tcp/ip...(напр redsocks; тоесть порт/адрес назначения менять нельзя). Хочу сделать так, чтобы это приложение обрабатывало только проходящие (FORWARD) пакеты.

Изначальная задача была перенаправить трафик, посредством iptables, с цепочки forward в сокет пользовательского приложения.
« Последнее редактирование: 09 Июль 2017, 11:20:48 от cyber_eagle »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: iptables REDIRECT --to-ports
« Ответ #14 : 09 Июль 2017, 17:41:08 »
-s <localnet> ! -d <localnet> -j REDIRECT
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.112 секунд. Запросов: 24.