bøvl igen igen med masquerading, transparent proxy... og ufw

[thj01]

Jeg har bøvlet lidt med at få en server til at fungere med masquerading, transparent proxy ... og ufw (altså firewall).

Opsætningen er som følger:

Kode: Vælg alt


                                     
                NAT            _____SERVER_____
          Dynamisk adresse     |              |
Nettet ------------------------|---- eth0     |
                               |              |
                               | 192.168.1.10 |                        Ubuntu 12.04.4 LTS
                               |              |      DHCP            /
                               |     eth1 ----|----------------klient       
                               |              |                      \
                               |______________|                        Win7
   




Jeg har fået både masquerading og den transparente proxy til at køre som en drøm... men det er kun indtil jeg aktiverer ufw - så går det galt

Jeg har lagt følgende iptables ind i /etc/rc.local:

Kode: Vælg alt

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

#Masquearading from eth1 to eth0

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE


#Transparent proxy (squid3)

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-des$
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to$




exit 0



Og det hele kører som det skal ... lige indtil jeg aktiverer ufw - så mister jeg forbindelsen'

Jeg har forsøgt at få masquerading til at fingere med udgangspunkt i ufw, men det er ikke lykkedes for mig selvom jeg har fulgt vejledningen til punkt og prikke (https://help.ubuntu.com/12.04/serverguide/firewall.html).

Jeg har også forsøgt at smide de ovenstående iptables ind i /etc/ufw/before.rules, men det løser ikke problemet.


Er der nogen der har erfaring med at anvende ufw sammen med masquerading og transperent proxy - som kan se hvad jeg gør forkert?

De virtuelle maskiner er sat op i virtualbox 4.3.6 og testet i den nyeste versoin 4.3.8

[lath]

Er der nogen der har erfaring med at anvende ufw sammen med masquerading og transperent proxy - som kan se hvad jeg gør forkert?

Jeg kender ikke til den kombination, men

Kode: Vælg alt

sudo iptables --list

.. lister alle firewall chains - også dem ufw laver. (der er godt nok seriøst mange ufw firewall chains).

Så kan du måske se om en ufw firewall chain dropper pakker før de når til dine NAT regler. (Det er nok det der sker.)

Der er også en backup kommando for iptables regler. Den kommando hedder iptables-save, og den bruges sådan her:

Kode: Vælg alt

sudo iptables-save > ~/iptables_save.txt;sudo chown $USER ~/iptables_save.txt;sudo chgrp $USER ~/iptables_save.txt

Du kan også udvælge en enkel firewall chain (table), sådan her:

Kode: Vælg alt

sudo iptables-save -t NAVN_PAA_FW_CHAIN > ~/iptables_save_NAVN_PAA_FW_CHAIN.txt;sudo chown $USER ~/iptables_save_NAVN_PAA_FW_CHAIN.txt;sudo chgrp $USER ~/iptables_save_NAVN_PAA_FW_CHAIN.txt[

Med iptables-restore kan man så indsætte gemte firewall regler igen (eller kopiere dem over til en anden maskine).
Hvis du gør det så husk at nuke alle firewall regler først med:

Kode: Vælg alt

sudo iptables --flush

Håber at det hjælper dig på vej til en løsning

/Lars

[thj01]

@lath

Ja der er seriøst mange regler i UFW, og hvis man ikke er en iptables haj, så får man en masse uforståelig output af de kommandoer. Men jeg løste problemet ved et rent tilfælde - og det var noget "DROP" noget

Der skulle ændres en fil mere i /etc/default/ufw nemlig filen ( se: https://bugs.launchpad.net/ubuntu/+source/ufw/+bug/550976 )

Kode: Vælg alt

DEFAULT_INPUT_POLICY="DROP"

til

Kode: Vælg alt

DEFAULT_INPUT_POLICY="ACCEPT"

Jeg kan så ikke gennemskue om det gennemhuller firewall'en også. Det undrer mig blot, at det ikke er skrevet i dokumentationen......

EDIT...

Og efter at ændre fra DROP til ACCEPT, så overruler ufw ikke de iptabels man lægger ind i rc.local

[Claus Henriksen]

Jeg blev først nogenlunde glad for at tilrette firewall efter en kollega gjorde mig opmærksom på Firehol toolet
http://firehol.org

[thj01]

HÅRH... jeg ELSKER KISS software.

Det skal jeg have undersøgt!

[lath]

Jeg blev først nogenlunde glad for at tilrette firewall efter en kollega gjorde mig opmærksom på Firehol toolet
http://firehol.org

+ 1 mio.!

Det var nok dagens hotte tip

/Lars