Autor Wątek: Dostęp do serwera DNS w innej podsieci (Przeczytany 2001 razy)

mariuszad · « **dnia:** 2017-05-08, 11:38:10 »

Witam

Nie mogę sobie poradzić z przydzieleniem dostępu do serwera DNS i WWW. Zależy mi na tym aby komputer o adresie 192.168.3.200 znajdujący się w innej podsieci miał do nich dostęp. Żeby nie rozpisywać się zamieszczam link do schematu , który myślę najlepiej zobrazuje o co mi chodzi:

IMG]http://thumbnails101.imagebam.com/54760/9d357f547592894.jpg[/IMG]

W sieci vlan2 wszystko działa jak należy. Komputery wpięte w tą sieć bez problemu mogą korzystać z dns-u i www. Komputer w sieci vlan3 dostaje z dhcp prawidłowe dane konfiguracyjne ale dostępu nie ma. Pewnie mam coś skopane w firewallu. Czy może mi ktoś podpowiedzieć jak powinna wyglądać regułka, która na to pozwoli ?

Pozdrawiam
mariusz

Paweł Kraszewski · « **Odpowiedź #1 dnia:** 2017-05-08, 12:58:21 »

1. Rozjaśnij trochę sprawę br0 na serwerze VM z adresacją jak enp1s0 na R2.

2. Jak wyglądają reguły routingu na R2, Komp1, serwerze VM i w wirtualkach

3. Jakie reguły firewalla masz teraz, oraz gdzie i jakie NAT-y są podefiniowane.

Jak mawiał znajomy hydraulik - to się musi dać przepchać.

mariuszad · « **Odpowiedź #2 dnia:** 2017-05-09, 07:18:31 »

Dziękuję za zaangażowanie... A więc po kolei. Strzeliłem błąd w adresacji br0. Powinna być taka jak w tym linku:

Tablice routingu wyglądają w następujący sposób :

R2

Kod: [Zaznacz]

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.39   0.0.0.0         UG    0      0        0 enp1s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 enp1s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 enp5s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 vlan20
169.254.0.0     0.0.0.0         255.255.0.0     U     1005   0        0 vlan30
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 enp1s0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 vlan20
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 vlan30

i interfejsy...

Kod: [Zaznacz]

 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:27:0e:08:72:4d brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.217/24 brd 192.168.0.255 scope global dynamic enp1s0
       valid_lft 21239sec preferred_lft 21239sec
3: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:30:4f:31:6c:ed brd ff:ff:ff:ff:ff:ff
4: vlan20@enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 00:30:4f:31:6c:ed brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.10/24 brd 182.168.2.255 scope global vlan20
       valid_lft forever preferred_lft forever
5: vlan30@enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 00:30:4f:31:6c:ed brd ff:ff:ff:ff:ff:ff
    inet 192.168.3.10/24 brd 182.168.3.255 scope global vlan30
       valid_lft forever preferred_lft forever

Na serwerze vm mam tak:

Kod: [Zaznacz]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: enp1s6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN qlen 1000
    link/ether 00:30:4f:31:7a:7c brd ff:ff:ff:ff:ff:ff
3: enp1s7: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 00:40:f4:24:d3:30 brd ff:ff:ff:ff:ff:ff
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 00:30:4f:31:7a:7c brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.102/24 brd 192.168.2.255 scope global dynamic br0
       valid_lft 18520sec preferred_lft 18520sec
5: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN qlen 1000
    link/ether 52:54:00:21:ee:0b brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
       valid_lft forever preferred_lft forever
6: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN qlen 1000
    link/ether 52:54:00:21:ee:0b brd ff:ff:ff:ff:ff:ff
7: vnet0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN qlen 1000
    link/ether fe:54:00:51:23:9e brd ff:ff:ff:ff:ff:ff
8: vnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN qlen 1000
    link/ether fe:54:00:51:23:8e brd ff:ff:ff:ff:ff:ff
9: vnet2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN qlen 1000
    link/ether fe:54:00:51:23:7e brd ff:ff:ff:ff:ff:ff

Kod: [Zaznacz]

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.10    0.0.0.0         UG    0      0        0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 br0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

Teraz wirtualki: mDNS

Kod: [Zaznacz]

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:51:23:7e brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.103/24 brd 192.168.2.255 scope global dynamic eth0
       valid_lft 17754sec preferred_lft 17754sec

Kod: [Zaznacz]

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.10    0.0.0.0         UG    0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

www

Kod: [Zaznacz]

 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:51:23:9e brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.106/24 brd 192.168.2.255 scope global dynamic eth0
       valid_lft 17659sec preferred_lft 17659sec

Kod: [Zaznacz]

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.10    0.0.0.0         UG    0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

... i jeszcze Komp1

Kod: [Zaznacz]

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
          0.0.0.0          0.0.0.0     192.168.3.10    192.168.3.103     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.3.0    255.255.255.0         On-link     192.168.3.103    276
    192.168.3.103  255.255.255.255         On-link     192.168.3.103    276
    192.168.3.255  255.255.255.255         On-link     192.168.3.103    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.3.103    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.3.103    276
===========================================================================
Trasy trwae:
  Brak

Firewall i NAT mam zainstalowany na razie jedynie na R2 i VM. W skrócie wygląda tak:

VM

Kod: [Zaznacz]

iptables-save
# Generated by iptables-save v1.4.21 on Mon May  8 14:50:09 2017
*mangle
:PREROUTING ACCEPT [5910:2263503]
:INPUT ACCEPT [5910:2263503]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5347:623181]
:POSTROUTING ACCEPT [5347:623181]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Mon May  8 14:50:09 2017
# Generated by iptables-save v1.4.21 on Mon May  8 14:50:09 2017
*nat
:PREROUTING ACCEPT [3:448]
:INPUT ACCEPT [3:448]
:OUTPUT ACCEPT [636:45463]
:POSTROUTING ACCEPT [636:45463]
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Mon May  8 14:50:09 2017
# Generated by iptables-save v1.4.21 on Mon May  8 14:50:09 2017
*filter
:INPUT ACCEPT [5910:2263503]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5347:623181]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
COMMIT
# Completed on Mon May  8 14:50:09 2017

Na R2:

Kod: [Zaznacz]

IPT="/usr/sbin/iptables"
IPTS="/usr/sbin/iptables-save"
IPTR="/usr/sbin/iptables-restore"

INET_IFACE="enp1s0"
INET_ADDRESS="192.168.0.217"

Vlan20="vlan20"
Vlan20_IP="192.168.2.10"
Vlan20_NET="192.168.2.0/24"
Vlan20_BCAST="192.168.2.255"

Vlan30="vlan30"
Vlan30_IP="192.168.3.10"
Vlan30_NET="192.168.3.0/24"
Vlan30_BCAST="192.168.3.255"

LO_IFACE="lo"
LO_IP="127.0.0.1"

$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

$IPT -N bad_packets
$IPT -N bad_tcp_packets
$IPT -N icmp_packets
$IPT -N udp_inbound
$IPT -N udp_outbound
$IPT -N tcp_inbound
$IPT -N tcp_outbound

$IPT -A bad_packets -p ALL -i $INET_IFACE -s $Vlan20_NET -j LOG --log-prefix "Illegal source: "
$IPT -A bad_packets -p ALL -i $INET_IFACE -s $Vlan20_NET -j DROP
$IPT -A bad_packets -p ALL -i $INET_IFACE -s $Vlan30_NET -j LOG --log-prefix "Illegal source: "
$IPT -A bad_packets -p ALL -i $INET_IFACE -s $Vlan30_NET -j DROP
$IPT -A bad_packets -p ALL -m conntrack --ctstate INVALID -j LOG --log-prefix "Invalid packet: "
$IPT -A bad_packets -p ALL -m conntrack --ctstate INVALID -j DROP
$IPT -A bad_packets -p tcp -j bad_tcp_packets
$IPT -A bad_packets -p ALL -j RETURN

$IPT -A bad_tcp_packets -p tcp -i $Vlan20 -j RETURN
$IPT -A bad_tcp_packets -p tcp -i $Vlan30 -j RETURN

$IPT -A bad_tcp_packets -p tcp ! --syn -m conntrack --ctstate NEW -j LOG --log-prefix "New not syn: "
$IPT -A bad_tcp_packets -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "Stealth scan: "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "Stealth scan: "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "Stealth scan: "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "Stealth scan: "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: "
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "Stealth scan: "
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPT -A bad_tcp_packets -p tcp -j RETURN

$IPT -A icmp_packets --fragment -p ICMP -j LOG --log-prefix "ICMP Fragment: "
$IPT -A icmp_packets --fragment -p ICMP -j DROP

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPT -A icmp_packets -p ICMP -j RETURN

$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP
$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP
$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPT -A udp_inbound -p UDP -j RETURN
$IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 53 -j ACCEPT
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 80 -j ACCEPT
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 443 -j ACCEPT
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 22 -j ACCEPT
$IPT -A tcp_inbound -p TCP -j RETURN
$IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT


$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

$IPT -A INPUT -p ALL -j bad_packets
$IPT -A INPUT -p ALL -d 224.0.0.1 -j DROP
$IPT -A INPUT -p ALL -i $Vlan20 -s $Vlan20_NET -j ACCEPT
$IPT -A INPUT -p ALL -i $Vlan20 -d $Vlan20_BCAST -j ACCEPT
$IPT -A INPUT -p ALL -i $Vlan30 -s $Vlan30_NET -j ACCEPT
$IPT -A INPUT -p ALL -i $Vlan30 -d $Vlan30_BCAST -j ACCEPT

$IPT -A INPUT -p UDP -i $Vlan20 --source-port 68 --destination-port 67 -j ACCEPT
$IPT -A INPUT -p UDP -i $Vlan30 --source-port 68 --destination-port 67 -j ACCEPT

$IPT -A INPUT -p ALL -i $INET_IFACE -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound
$IPT -A INPUT -p UDP -i $INET_IFACE -j udp_inbound
$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP

$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "INPUT packet died: "

$IPT -A FORWARD -p ALL -j bad_packets

$IPT -A FORWARD -p tcp -i $Vlan20 -j tcp_outbound
$IPT -A FORWARD -p tcp -i $Vlan30 -j tcp_outbound

$IPT -A FORWARD -p udp -i $Vlan20 -j udp_outbound
$IPT -A FORWARD -p udp -i $Vlan30 -j udp_outbound

$IPT -A FORWARD -p ALL -i $Vlan20 -j ACCEPT
$IPT -A FORWARD -p ALL -i $Vlan30 -j ACCEPT

$IPT -A FORWARD -i $INET_IFACE -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "FORWARD packet died: "

$IPT -A OUTPUT -p icmp -m conntrack --ctstate INVALID -j DROP

$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

$IPT -A OUTPUT -p ALL -s $Vlan20_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $Vlan30_IP -j ACCEPT

$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT

$IPT -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: "

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_ADDRESS
$IPT -t nat -A POSTROUTING -o $Vlan20 -j SNAT --to-source $INET_ADDRESS
$IPT -t nat -A POSTROUTING -o $Vlan30 -j SNAT --to-source $INET_ADDRESS

$IPT -t mangle -A OUTPUT -o $INET_IFACE -j TTL --ttl-set 128

Paweł Kraszewski · « **Odpowiedź #3 dnia:** 2017-05-09, 11:03:13 »

Na bardzo szybko:

* Obrazki można załączać jako załącznik do posta (niebieski "+" pod treścią)

* Po uruchomieniu VMek sprawdź poleceniem "brctl show", czy nie podbijają się one do virbr0 zamiast do br0

* Na R2 nie potrzebujesz NATa w kierunku vlanów, a już zwłaszcza przebijanych na adres uplinka R2. Między V20 i V30 komunikacja jedzie "normalnym" routingiem.

* Strasznie przekombinowany zestaw reguł firewalla na R2. Zwłaszcza, że cały syf zatrzyma się na R1 - bo zakładam, że tam też jest NAT. Sprawdź na czymś minimalnym.

mariuszad · « **Odpowiedź #4 dnia:** 2017-05-25, 11:06:11 »

Dzięki za podpowiedź. Tutaj wszystko jest ok. Problem był w ustawieniach DNS.

Pozdrawiam
Mariusz

Aktualności:

Linux.pl »

Nowe posty

Autor Wątek: Dostęp do serwera DNS w innej podsieci (Przeczytany 2001 razy)

mariuszad

Dostęp do serwera DNS w innej podsieci

Paweł Kraszewski

Odp: Dostęp do serwera DNS w innej podsieci

mariuszad

Odp: Dostęp do serwera DNS w innej podsieci

Paweł Kraszewski

Odp: Dostęp do serwera DNS w innej podsieci

mariuszad

Odp: Dostęp do serwera DNS w innej podsieci