bøvl igen igen med masquerading, transparent proxy... og ufw

Få hjælp og support til alt server-relateret. Guides og How-to's i forbindelse med servere hører også til her.
thj01
Indlæg: 2667
Tilmeldt: 21. nov 2006, 10:06
Geografisk sted: Fredericia

bøvl igen igen med masquerading, transparent proxy... og ufw

Indlæg af thj01 »

Jeg har bøvlet lidt med at få en server til at fungere med masquerading, transparent proxy ... og ufw (altså firewall).

Opsætningen er som følger:

Kode: Vælg alt


                                     
                NAT            _____SERVER_____
          Dynamisk adresse     |              |
Nettet ------------------------|---- eth0     |
                               |              |
                               | 192.168.1.10 |                        Ubuntu 12.04.4 LTS
                               |              |      DHCP            /
                               |     eth1 ----|----------------klient       
                               |              |                      \
                               |______________|                        Win7
   




Jeg har fået både masquerading og den transparente proxy til at køre som en drøm... men det er kun indtil jeg aktiverer ufw - så går det galt

Jeg har lagt følgende iptables ind i /etc/rc.local:

Kode: Vælg alt

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

#Masquearading from eth1 to eth0

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE


#Transparent proxy (squid3)

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-des$
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to$




exit 0



Og det hele kører som det skal ... lige indtil jeg aktiverer ufw - så mister jeg forbindelsen'

Jeg har forsøgt at få masquerading til at fingere med udgangspunkt i ufw, men det er ikke lykkedes for mig selvom jeg har fulgt vejledningen til punkt og prikke (https://help.ubuntu.com/12.04/serverguide/firewall.html).

Jeg har også forsøgt at smide de ovenstående iptables ind i /etc/ufw/before.rules, men det løser ikke problemet.


Er der nogen der har erfaring med at anvende ufw sammen med masquerading og transperent proxy - som kan se hvad jeg gør forkert?

De virtuelle maskiner er sat op i virtualbox 4.3.6 og testet i den nyeste versoin 4.3.8
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html

Kører LTS udgaverne.

"It's always easy if you know how to do it."
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: bøvl igen igen med masquerading, transparent proxy... og

Indlæg af lath »

thj01 skrev:Er der nogen der har erfaring med at anvende ufw sammen med masquerading og transperent proxy - som kan se hvad jeg gør forkert?


Jeg kender ikke til den kombination, men

Kode: Vælg alt

sudo iptables --list

.. lister alle firewall chains - også dem ufw laver. (der er godt nok seriøst mange ufw firewall chains).

Så kan du måske se om en ufw firewall chain dropper pakker før de når til dine NAT regler. (Det er nok det der sker.)

Der er også en backup kommando for iptables regler. Den kommando hedder iptables-save, og den bruges sådan her:

Kode: Vælg alt

sudo iptables-save > ~/iptables_save.txt;sudo chown $USER ~/iptables_save.txt;sudo chgrp $USER ~/iptables_save.txt

Du kan også udvælge en enkel firewall chain (table), sådan her:

Kode: Vælg alt

sudo iptables-save -t NAVN_PAA_FW_CHAIN > ~/iptables_save_NAVN_PAA_FW_CHAIN.txt;sudo chown $USER ~/iptables_save_NAVN_PAA_FW_CHAIN.txt;sudo chgrp $USER ~/iptables_save_NAVN_PAA_FW_CHAIN.txt[


Med iptables-restore kan man så indsætte gemte firewall regler igen (eller kopiere dem over til en anden maskine).
Hvis du gør det så husk at nuke alle firewall regler først med:

Kode: Vælg alt

sudo iptables --flush


Håber at det hjælper dig på vej til en løsning :)

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
thj01
Indlæg: 2667
Tilmeldt: 21. nov 2006, 10:06
Geografisk sted: Fredericia

Re: bøvl igen igen med masquerading, transparent proxy... og

Indlæg af thj01 »

@lath

Ja der er seriøst mange regler i UFW, og hvis man ikke er en iptables haj, så får man en masse uforståelig output af de kommandoer. Men jeg løste problemet ved et rent tilfælde - og det var noget "DROP" noget ;)

Der skulle ændres en fil mere i /etc/default/ufw nemlig filen ( se: https://bugs.launchpad.net/ubuntu/+source/ufw/+bug/550976 )

Kode: Vælg alt

DEFAULT_INPUT_POLICY="DROP"

til

Kode: Vælg alt

DEFAULT_INPUT_POLICY="ACCEPT"

Jeg kan så ikke gennemskue om det gennemhuller firewall'en også. Det undrer mig blot, at det ikke er skrevet i dokumentationen......

EDIT...

Og efter at ændre fra DROP til ACCEPT, så overruler ufw ikke de iptabels man lægger ind i rc.local
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html

Kører LTS udgaverne.

"It's always easy if you know how to do it."
Claus Henriksen
Forfatter
Indlæg: 794
Tilmeldt: 21. jan 2007, 17:45
Geografisk sted: Christianshavn

Re: bøvl igen igen med masquerading, transparent proxy... og

Indlæg af Claus Henriksen »

Jeg blev først nogenlunde glad for at tilrette firewall efter en kollega gjorde mig opmærksom på Firehol toolet
http://firehol.org
Claus Gårde Henriksen / Jeg bruger ikke Ubuntu / Debian Stable 12
thj01
Indlæg: 2667
Tilmeldt: 21. nov 2006, 10:06
Geografisk sted: Fredericia

Re: bøvl igen igen med masquerading, transparent proxy... og

Indlæg af thj01 »

HÅRH... jeg ELSKER KISS software.

Det skal jeg have undersøgt!
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html

Kører LTS udgaverne.

"It's always easy if you know how to do it."
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: bøvl igen igen med masquerading, transparent proxy... og

Indlæg af lath »

ubuntuuser42 skrev:Jeg blev først nogenlunde glad for at tilrette firewall efter en kollega gjorde mig opmærksom på Firehol toolet
http://firehol.org

+ 1 mio.!

Det var nok dagens hotte tip

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags