The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"transparent squid + iptables ULOG"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"transparent squid + iptables ULOG"  
Сообщение от Alex email(??) on 03-Окт-08, 20:49 
собственно, имеет машина, на которой стоит NAT, squid и терминирование pppoe

входящий и исходящий трафик завернул в ULOG легко:
$IPTABLES -t mangle -A PREROUTING        -j ULOG    --ulog-nlgroup 7 --ulog-qthreshold 32   -s $ALLVPN_NN
$IPTABLES -t mangle -A POSTROUTING      -j ULOG     --ulog-nlgroup 7 --ulog-qthreshold 32   -d $ALLVPN_NN -s ! $VPN_IP

но трафик от squid возвращается с хоста $VPN_IP (во втором правиле я его отсекаю), танцы с бубном и курение манов iptables не помогли.
но ведь главное - tcpdump видит уже нормальный трафик с подмененными сквидом ip на ppp-интерфейсах... как его поймать в ULOG?

еще видел в инете красивую большую картинку по iptables, где были расписаны марштуты следования пакетов... но гуглением не нашел... кто-нибудь кинет ссылкой? думаю, это приблизит решение проблемы...

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "transparent squid + iptables ULOG"  
Сообщение от reader (ok) on 04-Окт-08, 21:24 
>[оверквотинг удален]
>$IPTABLES -t mangle -A POSTROUTING      -j ULOG
>    --ulog-nlgroup 7 --ulog-qthreshold 32   -d
>$ALLVPN_NN -s ! $VPN_IP
>
>но трафик от squid возвращается с хоста $VPN_IP (во втором правиле я
>его отсекаю), танцы с бубном и курение манов iptables не помогли.
>
>но ведь главное - tcpdump видит уже нормальный трафик с подмененными сквидом
>ip на ppp-интерфейсах... как его поймать в ULOG?
>

не понял что не получается
>еще видел в инете красивую большую картинку по iptables, где были расписаны
>марштуты следования пакетов... но гуглением не нашел... кто-нибудь кинет ссылкой? думаю,
>это приблизит решение проблемы...

http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "transparent squid + iptables ULOG"  
Сообщение от Alex email(??) on 04-Окт-08, 22:18 

>>но ведь главное - tcpdump видит уже нормальный трафик с подмененными сквидом
>>ip на ppp-интерфейсах... как его поймать в ULOG?
>>
>
>не понял что не получается

что непонятного? squid в прозрачном режиме подменяет свой ип в ответе на тот, к которому обращался пользователь.

мне нужно ловить именно подмененный пакет - у меня это и не получается.
перепробовал все цепочки - не помогает. а на уровне интерфейса (libpcap) уже идут нормальные пакеты с подмененным адресом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "transparent squid + iptables ULOG"  
Сообщение от PavelR (??) on 05-Окт-08, 08:40 
>[оверквотинг удален]
>>
>>не понял что не получается
>
>что непонятного? squid в прозрачном режиме подменяет свой ип в ответе на
>тот, к которому обращался пользователь.
>
>мне нужно ловить именно подмененный пакет - у меня это и не
>получается.
>перепробовал все цепочки - не помогает. а на уровне интерфейса (libpcap) уже
>идут нормальные пакеты с подмененным адресом

ты, блин, сам себе противоречишь:

1.мне нужно ловить именно подмененный пакет
2. на уровне интерфейса уже идут пакеты с подмененным адресом


Когда определишься что тебе нужно и научишься задавать вопросы - приходи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "transparent squid + iptables ULOG"  
Сообщение от Alex email(??) on 05-Окт-08, 10:13 
>ты, блин, сам себе противоречишь:
>
>1.мне нужно ловить именно подмененный пакет
>2. на уровне интерфейса уже идут пакеты с подмененным адресом
>
>
>Когда определишься что тебе нужно и научишься задавать вопросы - приходи.

я не вижу здесь противоречия. я вижу как вы здесь предираетесь к словам :)

мне нужно ловить пакет с подмененным адресом, который я смог поймать только на уровне интерфейса через libpcap.

так трафик видит tcpdump (libpcap):
13:44:49.525359 IP 10.5.0.6.44083 > 213.180.204.8.80: . 1:537(536) ack 1 win 1072 13:44:49.525381 IP 213.180.204.8.80 > 10.5.0.6.44083: . ack 537 win 3216

а так LOG/ULOG в цепочке mangle/POSTROUTING:
test-counter: IN=ppp29 OUT= MAC= SRC=10.5.0.6 DST=213.180.204.8 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=55970 DF PROTO=TCP SPT=44083 DPT=80 WINDOW=1072 RES=0x00 ACK FIN URGP=0
test-counter: IN= OUT=ppp29 SRC=10.0.0.1 DST=10.5.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=60757 DF PROTO=TCP SPT=3128 DPT=44083 WINDOW=3216 RES=0x00 ACK FIN URGP=0

10.0.0.1 - IP, на котором стоит прозрачный squid
10.5.0.6 - адрес клиента
213.180.204.8 - адрес яндекса :)

мне нужно поймать первый вариант пакета спомощью iptables

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "transparent squid + iptables ULOG"  
Сообщение от PavelR (??) on 05-Окт-08, 12:21 
>[оверквотинг удален]
>test-counter: IN=ppp29 OUT= MAC= SRC=10.5.0.6 DST=213.180.204.8 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=55970 DF
>PROTO=TCP SPT=44083 DPT=80 WINDOW=1072 RES=0x00 ACK FIN URGP=0
>test-counter: IN= OUT=ppp29 SRC=10.0.0.1 DST=10.5.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=60757 DF PROTO=TCP
>SPT=3128 DPT=44083 WINDOW=3216 RES=0x00 ACK FIN URGP=0
>
>10.0.0.1 - IP, на котором стоит прозрачный squid
>10.5.0.6 - адрес клиента
>213.180.204.8 - адрес яндекса :)
>
>мне нужно поймать первый вариант пакета спомощью iptables

http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES

На прокси ты же заворачиваешь в nat/PREROUTING ?
Думаю что успешно получится поймать в nat/POSTROUTING.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "transparent squid + iptables ULOG"  
Сообщение от Alex email(??) on 05-Окт-08, 15:09 
>На прокси ты же заворачиваешь в nat/PREROUTING ?
>Думаю что успешно получится поймать в nat/POSTROUTING.

я тоже так думал, но увы не поучилось...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "transparent squid + iptables ULOG"  
Сообщение от PavelR (??) on 05-Окт-08, 17:42 
>>На прокси ты же заворачиваешь в nat/PREROUTING ?
>>Думаю что успешно получится поймать в nat/POSTROUTING.
>
>я тоже так думал, но увы не поучилось...

Да, точно. И не получится, думаю. В линуксе обратный NAT неявен, и после него пакеты в цепочки уже не передаются.

В частности я описывал как делать DNAT в случае двух провайдеров, там та же самая ситуация - неявный нат на обратном пути, но её connmark помогает обойти, и там адреса в iptables не используются, используются метки.

Поигрался с иптаблесом, везде фигурирует адрес сервера в качестве источника ответных пакетов. Перебрал всё что можно, что странно в nat/POSTROUTING вообще ничего не ловится адекватного (по условию sport 80 (типа веб-сервер) или sport 3127 (типа прокся) и -d адрес браузера ).


В общем случае, думаю, проблема решения не имеет.


Use FreeBSD ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру