Autor Wątek: Iptables - 2 różne reguły a cel ten sam?  (Przeczytany 19822 razy)

0 użytkowników i 1 Gość przegląda ten wątek.

mr_brunatny

  • Początkujący
  • *
  • Wiadomości: 45
Iptables - 2 różne reguły a cel ten sam?
« dnia: Luty 20, 2014, 09:37:43 pm »
Witam
Może mi ktoś na chłopski rozum wytłumaczyć czym w praktyce różnią się te dwa wpisy w iptables:

iptables -t nat -A POSTROUTING -s 192.168.0.10 -o eth1    -j SNAT --to-source $ip_zew
a
iptables -t nat -A POSTROUTING -s 192.168.0.11               -j SNAt --to-source $ip_zew

eth1 - połączony internet o adresie ip_zewn

Oba komputery mają dostęp do internetu.

mastal

  • Moderator działu
  • SUSE Root
  • *
  • Wiadomości: 1926
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #1 dnia: Luty 20, 2014, 11:34:43 pm »
Jaki masz problem do rozwiązania ?

Bo odsyłanie RTFM to już przesada.
1. Zapoznaj się ze stroną http://www.linux-tips-and-tricks.de/quickstart#English i wykonaj tam zawarte punkty
2. Przyślij wynik skryptu collectNWData.sh

rilicek

  • Geeko's friend
  • SUSE Root
  • *
  • Wiadomości: 2062
  • Kto nie ryzykuje, ten w kozie nie siedzi.
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #2 dnia: Luty 20, 2014, 11:35:46 pm »
Ja wiem, czym różnią się te wpisy:
-o eth1
openSUSE Leap 42.2

mastal

  • Moderator działu
  • SUSE Root
  • *
  • Wiadomości: 1926
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #3 dnia: Luty 20, 2014, 11:53:08 pm »
Ja wiem, czym różnią się te wpisy:
-o eth1

To ma być inteligentna odpowiedź czy nabijanie się z użytkownika ? Coraz bardziej pchasz się pod bana.
1. Zapoznaj się ze stroną http://www.linux-tips-and-tricks.de/quickstart#English i wykonaj tam zawarte punkty
2. Przyślij wynik skryptu collectNWData.sh

mr_brunatny

  • Początkujący
  • *
  • Wiadomości: 45
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #4 dnia: Luty 20, 2014, 11:55:10 pm »
Jaki masz problem do rozwiązania ?

Bo odsyłanie RTFM to już przesada.

W sieci jest ok 30 kompów i serwer, który robi za firewall.
W iptables w tabeli nat niektóre komputery mają dostęp do neta za pomocą pierwszej reguły a inne za pomocą drugiej.
Ponieważ firewall nie jest pisany przeze mnie staram się go "rozkminić". A że wiedzę mam jaką mam dlatego pytam (dla mnie te dwie reguły dają ten sam efekt). Wydaje mi się że jakiś był cel pisania dwóch takich reguł.
A dodatkowo trzy z tych 30 komputerów mają mieć zmienioną politykę tylko na dostęp do siec LAN. Zastanawiam się czy to też w tabeli nat mam zrobić. 

mastal

  • Moderator działu
  • SUSE Root
  • *
  • Wiadomości: 1926
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #5 dnia: Luty 20, 2014, 11:59:55 pm »
Jaki masz problem do rozwiązania ?

Bo odsyłanie RTFM to już przesada.

W sieci jest ok 30 kompów i serwer, który robi za firewall.
W iptables w tabeli nat niektóre komputery mają dostęp do neta za pomocą pierwszej reguły a inne za pomocą drugiej.
Ponieważ firewall nie jest pisany przeze mnie staram się go "rozkminić". A że wiedzę mam jaką mam dlatego pytam (dla mnie te dwie reguły dają ten sam efekt). Wydaje mi się że jakiś był cel pisania dwóch takich reguł.
A dodatkowo trzy z tych 30 komputerów mają mieć zmienioną politykę tylko na dostęp do siec LAN. Zastanawiam się czy to też w tabeli nat mam zrobić.

1. skąd są te reguły ? Ze skryptu czy z aktualnie działającego iptables ?
2. na jakiej podstawie twierdzisz że obie reguły działają jednocześnie ?
1. Zapoznaj się ze stroną http://www.linux-tips-and-tricks.de/quickstart#English i wykonaj tam zawarte punkty
2. Przyślij wynik skryptu collectNWData.sh

mr_brunatny

  • Początkujący
  • *
  • Wiadomości: 45
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #6 dnia: Luty 21, 2014, 12:18:29 am »
1. skąd są te reguły ? Ze skryptu czy z aktualnie działającego iptables ?
2. na jakiej podstawie twierdzisz że obie reguły działają jednocześnie ?

Ad 1.
Reguły są ze skryptu firewall'a
Ad 2.
Wycinek z iptables -L -nvx -t nat --line-numbers
Chain POSTROUTING (policy ACCEPT 234410 packets, 13173577 bytes)
....
5          0        0 SNAT       all  --  *      *       192.168.0.39         0.0.0.0/0           to:83.12.163.XXX
6          0        0 SNAT       all  --  *      eth1    192.168.0.40         0.0.0.0/0           to:83.12.163.XXX
7          0        0 SNAT       all  --  *      *       192.168.0.41         0.0.0.0/0           to:83.12.163.XXX
8          0        0 SNAT       all  --  *      *       192.168.0.43         0.0.0.0/0           to:83.12.163.XXX
9          0        0 SNAT       all  --  *      eth1    192.168.0.50         0.0.0.0/0           to:83.12.163.XXX
10       4557   236868 SNAT       all  --  *      eth1    192.168.0.52         0.0.0.0/0           to:83.12.163.XXX
11          4      192 SNAT       all  --  *      eth1    192.168.0.53         0.0.0.0/0           to:83.12.163.XXX
...


rilicek

  • Geeko's friend
  • SUSE Root
  • *
  • Wiadomości: 2062
  • Kto nie ryzykuje, ten w kozie nie siedzi.
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #7 dnia: Luty 21, 2014, 12:26:07 am »
Może głupie pytanie, ile masz kart sieciowych?
openSUSE Leap 42.2

mr_brunatny

  • Początkujący
  • *
  • Wiadomości: 45
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #8 dnia: Luty 21, 2014, 12:31:41 am »
Może głupie pytanie, ile masz kart sieciowych?

Karty sieciowe są dwie
eth0-LAN
eth1-DSL

mastal

  • Moderator działu
  • SUSE Root
  • *
  • Wiadomości: 1926
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #9 dnia: Luty 21, 2014, 12:58:07 am »
To teraz już trochę więcej wiadomo.

1. RTFM: iptables -> search "-o" switch
2. chyba ten co pisał tego 'FW' miał niezłą wenę twórczą bo wynika iż tylko określone hosty mają prawo dostępu do internetu.

Potencjalnie głupie pytanie rilicek'a ma swoje uzasadnienie. To zrozumiesz jak odrobisz pkt nr 1.
Zasadniczo dobrą praktyką jest wpisanie, którymi interfejsami przechodzą pakiety.
1. Zapoznaj się ze stroną http://www.linux-tips-and-tricks.de/quickstart#English i wykonaj tam zawarte punkty
2. Przyślij wynik skryptu collectNWData.sh

mr_brunatny

  • Początkujący
  • *
  • Wiadomości: 45
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #10 dnia: Luty 21, 2014, 01:14:05 am »
To teraz już trochę więcej wiadomo.

1. RTFM: iptables -> search "-o" switch
2. chyba ten co pisał tego 'FW' miał niezłą wenę twórczą bo wynika iż tylko określone hosty mają prawo dostępu do internetu.

Potencjalnie głupie pytanie rilicek'a ma swoje uzasadnienie. To zrozumiesz jak odrobisz pkt nr 1.
Zasadniczo dobrą praktyką jest wpisanie, którymi interfejsami przechodzą pakiety.

Ok. parametr -o czyli interfejs docelowy. To rozumiem.
iptables -t nat -A POSTROUTING -s 192.168.0.10 -o eth1    -j SNAT --to-source $ip_zew
Pakietom z 192.168.0.10 przeznaczonym do interfejsu docelowego czyli karty eth1 zmień adres źródłowy na adres zewnętrzny.
W takim razie co znaczy
iptables -t nat -A POSTROUTING -s 192.168.0.11               -j SNAt --to-source $ip_zew
wszystkim pakietom z hosta 192.168.0.11 zmień adres źródłowy na zewnętrzny ??? tego nie rozumiem

rilicek

  • Geeko's friend
  • SUSE Root
  • *
  • Wiadomości: 2062
  • Kto nie ryzykuje, ten w kozie nie siedzi.
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #11 dnia: Luty 21, 2014, 01:18:12 am »
Pakietom z 192.168.0.10 przeznaczonym do interfejsu docelowego czyli karty eth1 zmień adres źródłowy na adres zewnętrzny.
Ja to sobie tłumaczę inaczej, ale nie jestem informatykiem.
Chyba pakiety same z siebie nie wiedzą do którego ethX mają trafić.
openSUSE Leap 42.2

mr_brunatny

  • Początkujący
  • *
  • Wiadomości: 45
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #12 dnia: Luty 21, 2014, 01:34:07 am »
A możesz napisać jak to sobie tłumaczysz. Może wtedy to zrozumiem.

mastal

  • Moderator działu
  • SUSE Root
  • *
  • Wiadomości: 1926
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #13 dnia: Luty 21, 2014, 01:40:27 am »
To teraz już trochę więcej wiadomo.

1. RTFM: iptables -> search "-o" switch
2. chyba ten co pisał tego 'FW' miał niezłą wenę twórczą bo wynika iż tylko określone hosty mają prawo dostępu do internetu.

Potencjalnie głupie pytanie rilicek'a ma swoje uzasadnienie. To zrozumiesz jak odrobisz pkt nr 1.
Zasadniczo dobrą praktyką jest wpisanie, którymi interfejsami przechodzą pakiety.

Ok. parametr -o czyli interfejs docelowy. To rozumiem.
drobny błąd. to nie jest "docelowy" a "wyjściowy" i to powoduje iż ma bardzo duże znaczenie. Tutaj masz problem ze zrozumiem tego.


Cytuj
iptables -t nat -A POSTROUTING -s 192.168.0.10 -o eth1    -j SNAT --to-source $ip_zew
Pakietom z 192.168.0.10 przeznaczonym do interfejsu docelowego czyli karty eth1 zmień adres źródłowy na adres zewnętrzny.
W takim razie co znaczy
iptables -t nat -A POSTROUTING -s 192.168.0.11               -j SNAt --to-source $ip_zew
wszystkim pakietom z hosta 192.168.0.11 zmień adres źródłowy na zewnętrzny ??? tego nie rozumiem
To rozumowanie jest prawie poprawne. Opis jednak nie jest precyzyjny. Pozostaje uwaga jak wyżej: to nie jest "docelowy" a wyjściowy. Możesz uznawać iż to jest samo jednak ma to drobne konotacje w precyzji wyrażenie się a następie w zrozumieniu. Pakiet nie tylko dociera ale wychodzi z tego interfejsu. To jest ważne.

W twoim przypadku praktycznie nie ma żadnych różnic w obu zapisach. Masz bardzo prostą sieć gdzie liczba interfejsów jest tylko 2. Gdybyś miał to potencjalny brak "wskazania" INPUT/OUTPUT czyli "-i/-o" regule mogło by generować bardzo ciekawe efekty i w konsekwencji problemy. Z tego względu dobrą praktyką jest właśnie stosowanie tych przełączników. Z jednej strony jest to dobra praktyka z drugiej łatwość analizy zapisów. Jest jeszcze jedna drobna różnica zastosowania -o - szybciej taki pakiet się przetworzy ale dla ciebie nie będzie miało to znaczenia.
1. Zapoznaj się ze stroną http://www.linux-tips-and-tricks.de/quickstart#English i wykonaj tam zawarte punkty
2. Przyślij wynik skryptu collectNWData.sh

mr_brunatny

  • Początkujący
  • *
  • Wiadomości: 45
Odp: Iptables - 2 różne reguły a cel ten sam?
« Odpowiedź #14 dnia: Luty 21, 2014, 02:03:20 am »

To rozumowanie jest prawie poprawne. Opis jednak nie jest precyzyjny. Pozostaje uwaga jak wyżej: to nie jest "docelowy" a wyjściowy. Możesz uznawać iż to jest samo jednak ma to drobne konotacje w precyzji wyrażenie się a następie w zrozumieniu. Pakiet nie tylko dociera ale wychodzi z tego interfejsu. To jest ważne.

W twoim przypadku praktycznie nie ma żadnych różnic w obu zapisach. Masz bardzo prostą sieć gdzie liczba interfejsów jest tylko 2. Gdybyś miał to potencjalny brak "wskazania" INPUT/OUTPUT czyli "-i/-o" regule mogło by generować bardzo ciekawe efekty i w konsekwencji problemy. Z tego względu dobrą praktyką jest właśnie stosowanie tych przełączników. Z jednej strony jest to dobra praktyka z drugiej łatwość analizy zapisów. Jest jeszcze jedna drobna różnica zastosowania -o - szybciej taki pakiet się przetworzy ale dla ciebie nie będzie miało to znaczenia.

Dziękuję za wytłumaczenie. Jutro będę walczył dalej. :smiley: