Forum Debian Users Gang

Szewski · 2009-07-12 03:10:11

Hej,

Unizenie prosze o pomoc osob madrzejszych ode mnie... Mam maly problem z poprawnym skonfigurowaniem "3 legged" firewall opierajacego sie na 3x NIC (WAN, LAN, DMZ). Schemat wyglada tak:

Apache: nie ma tam zadnych wymyslnych konfiguracji - zabawe zakonczylem na etapie aptitude install apache2 i stronie "It Works!"
Router zaraz za modemem: Cisco - nie robi nic nadzwyczajnego - PATuje adresy z puli 172.16.0.0/28 na adresy publiczne DSLowe (tpsa)

Na chwile obecna dziala:
- LAN ma dostep do Internetu - na wysciu z GW jest SNATowany na adres 172.16.0.2 a pozniej mapowany na routerze Cisco na adres publiczny - dziala
- DMZ - ma dostep do Internetu - ta czesc konfiguracji tez dziala

Istota problemu jest niemozliwosc dostania sie z LAN do Apache'a w DMZecie po adresie publicznym - zeby zaskoczylo musze uzywac prywatnego adresu 10.0.0.4. Zeby bylo smieszniej - Apache jest bez problemu osiagalny kiedy lacze sie do niego z publicznego IP, z hosta nie bedacego w sieci LAN. Moge pingowac z LANu komputer z Apachem - odpowiada mi on z adresu 172.16.0.4 (czy to jest aby napewno poprane?).

Konfiguracja:

iptables na GW:

Kod:

#!/bin/sh

#############
### NAMES ###
#############
WANNIC="eth2"
LANNIC="eth1"
DMZNIC="eth0"
LAN="192.168.0.0/24"
LAN_SNAT="172.16.0.2"
DNS1="194.204.152.34"
DNS2="194.204.159.1"

##########################
### SERVERS PRIVATE IP ###
##########################
APACHE="10.0.0.4"


###################
### WAN IP POOL ###
###################
WAN_APACHE="172.16.0.4"

modprobe iptable_nat
MOD=/sbin/modprobe
$MOD ip_conntrack

### FLUSH ALL CHAINS###
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F -t nat

### FORWARD ###
echo "1" > /proc/sys/net/ipv4/ip_forward


### DEFAULT POLICIES ###
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

### LOOPBACK ###
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


iptables -A FORWARD -i $DMZNIC -o $WANNIC -j ACCEPT 
iptables -A FORWARD -i $WANNIC -o $DMZNIC -j ACCEPT 

iptables -A FORWARD -i $LANNIC -o $DMZNIC -j ACCEPT 


################
### LAN SNAT ###
################
iptables -A POSTROUTING -t nat -s $LAN -o $WANNIC -j SNAT --to-source $LAN_SNAT


################
### DMZ DNAT ###
################
iptables -t nat -A PREROUTING -i $WANNIC -d $WAN_APACHE -j DNAT --to-destination $APACHE


################
### DMZ SNAT ###
################
iptables -t nat -A POSTROUTING -s $APACHE -o $WANNIC -j SNAT --to-source $WAN_APACHE

Na GW dodalem aliasy:

Kod:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:24:01:60:1a:56 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/28 brd 10.0.0.15 scope global eth0
    inet6 fe80::224:1ff:fe60:1a56/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:24:01:5e:c9:47 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::224:1ff:fe5e:c947/64 scope link 
       valid_lft forever preferred_lft forever
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:15:f2:4c:a2:2d brd ff:ff:ff:ff:ff:ff
    inet 172.16.0.2/28 brd 172.16.0.15 scope global eth2
    inet 172.16.0.3/32 scope global eth2
    inet 172.16.0.4/32 scope global eth2
    inet 172.16.0.5/32 scope global eth2
    inet 172.16.0.6/32 scope global eth2
    inet6 fe80::215:f2ff:fe4c:a22d/64 scope link 
       valid_lft forever preferred_lft forever

route -n:

Kod:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.240 U     0      0        0 eth0
172.16.0.0      0.0.0.0         255.255.255.240 U     0      0        0 eth2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         172.16.0.1      0.0.0.0         UG    0      0        0 eth2

I teraz sedno sprawy:
Tak jak wspomnialem wczesniej - kiedy pinguje komputer z indianinem z LAN - odpowiada mi on z adresu 172.16.0.4, nslookup mojafirma.org

Kod:

nslookup mojafirma.org
Server:        194.204.152.34
Address:    194.204.152.34#53

Non-authoritative answer:
Name:    mojafirma.org
Address: 172.16.0.4

Nie mam zadnego DNSa skonfigurowanego, host.conf zawiera tylko wpis multi on.

Mam wrazenie, ze albo o czyms zapomnialem przy SNAT/DNAT, albo tez braklo jakiegos FORWARDA. Szukalem podobnego tematu i natknalem sie na watek http://forum.dug.net.pl/viewtopic.php?id=3575 i wypowiedz kolegi Libo:

"najprawdopodobniej problem wyglada nastepujacao:
jezeli wpisujesz adres zewnetrzny serwera www ( lokalnego ) to pakiet leci z kompa do bramy, tam jest redirectowany i nie trafia do snatu tylko bezposredno do sieci lokalnej ( tak wynika z analizy pakietow ). serwer www odbiera ten pakiet i nie wysyla go spowrotem ta sama droga(do bramy), tylko sprawdza sobie lokalna tablice arpow i wysyla bezposrednio do kompa ktory wyslal zapytanie ale komp odrzuca ten pakiet. w miedzy czasie robi sie syf bo "brama" nie dostawszy ospowiedzi z serwera www ponawia probe i wysyla jeszcze raz ten sam pakiet, na co serwer www odpowiada tak jak poprzednio."

Bardzo prosilbym o pomoc w rozwiazaniu tego problemu, ja juz osiwialem jak golabek.

kayo · 2009-07-12 12:51:03

Skonfiguruj DNS na routerze by wskazywal wlasciwy adres. Kiedys mialem dokladnie taka sama konfiguracje i smigalo bezproblemu

Ostatnio edytowany przez kayo (2009-07-12 12:51:33)

Forum Debian Users Gang

Ogłoszenie

#1 2009-07-12 03:10:11

Szewski - Użytkownik

Z Lan do DMZ (www) = problem

Kod:

Kod:

Kod:

Kod:

#2 2009-07-12 12:51:03

kayo - Członek DUG

Re: Z Lan do DMZ (www) = problem

Stopka forum