Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

[RISOLTO] Nat loopback con irpinianet.com srl

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Dom Feb 05, 2017 10:21 pm    Oggetto: [RISOLTO] Nat loopback con irpinianet.com srl Rispondi citando

Ho una connessione ADSL con parabola distribuita da irpinia Net.

Ho ip statico che viene gestito da loro router inscatolato su parabola,

Da in dhcp classe ip 192.168.1.x dove 192.168.1.1 loro gateway

Tra loro e la mia lan interna c'è zs.

Su ip 192.168.1.66 ho fatto aprire le porte che mi servono per gestire web server su raspberry pi3 avendo classe ip 192.168.0.105.

Su 192.168.1.66 ho aperto porta 80/22/21/ etc.

Da esterno tramite ip pubblico fisso e relativo ddns accedo al sito web,
Non vale la regola se tentò di accedere da un pc della lan locale tramite ip pubblico

Servirebbe un nat loopback da quanto capito

Se abilitato porta 80 su regole virtual server a tutta la lan ovviamente ogni richiesta di sito su 80 porta ad aprire il mio sito.

Come risolvere? Ho provato questa guida per ip statico ma non va

https://wiki.afm.co/display/PUBL/How+to+enable+loopback+on+a+NAT+with+Zeroshell


L'ultima modifica di tiger il Gio Feb 09, 2017 1:38 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Lun Feb 06, 2017 7:32 pm    Oggetto: Rispondi citando

Prova, al volo, con
Codice:
iptables -t nat -I PREROUTING -s 192.168.0.0/24 -d tuo.ip.pubblico -i tua.ETHXX.lan -p tcp --dport 80 -j DNAT --to-dest 192.168.0.105
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -d 192.168.0.105 -o tua.ETHXX.lan -p tcp --dport 80 -j MASQUERADE

Non provato ....
ciao
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Lun Feb 06, 2017 8:40 pm    Oggetto: Rispondi citando

Avendo internet (192.168.1.66) su eth03

e avendo BRIDGE00 su altre 3 lan
il comando da mettere nelle iptable sezione firewall

vieni cosi?

iptables -t nat -I PREROUTING -s 192.168.0.0/24 -d 109.104.225.15 -i BRIDGE00 -p tcp --dport 80 -j DNAT --to-dest 192.168.0.105

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -d 192.168.0.105 -o BRIDGE00 -p tcp --dport 80 -j MASQUERADE

o devo inserirle in un cron jon nat?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Lun Feb 06, 2017 8:46 pm    Oggetto: Rispondi citando

Dovrebbe essere giusto, prima di inserirlo, puoi provare a mano via SSH o da terminale, in caso di problemi, al massimo con un reboot rimetti tutto a posto ( o con iptables -t nat -D PREROUTING 1 e iptables -t nat -D POSTROUTING 1), ma se hai servizi raggiungibili dall'esterno e piu' interfacce, perchè, non togli un interfaccia dal bridge e la usi per DMZ, con regole firewall ?
ciao
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Lun Feb 06, 2017 8:57 pm    Oggetto: Rispondi citando

Perché il raspberry pi3 é collegato wifi a un ap cui hanno accesso wifi cell e tablet miei diciamo eth01 su eth00 c'è una lan di tre pc su eth02 ce una lan con power line che raggiunge un altra stanza. E voglio che comunicano tutti ecco perché del bridge
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Mar Feb 07, 2017 10:24 pm    Oggetto: Rispondi citando

Redfive ho provato le tabelle da te scritte ma nada

Avendo doppio nat forse questo blocca nat loopback?

Ip_pubblico passa a router Irpinia Net con nat su 192.168.1.1/24,

Porta 80 aperta da loro su 192.168.1.66

(io non posso intervenire su loro router)

102.168.1.66 è la mia eth03 internet zs

Bridge00 3lan classe 102.168.0.x

Web server ip 192.168.0.105 accessibile da ip pubblico

Fatto nat 102.168.1.66 porta 80 su 192.168.0.105

Ma da rete LAN se dgt ip pubblico non accedo a server

Come fare?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Mer Feb 08, 2017 12:59 pm    Oggetto: Rispondi citando

Potresti postare l'output di
Codice:
iptabels -t nat -nvL PREROUTING
e
Codice:
iptabels -t nat -nvL POSTROUTING

Dopo aver tentato, dall'interno della tua lan, ad accedere al tuo web server tramite ip pubblico ?
Potresti povare anche
Codice:
tcpdump -n "dst host tuo.ip.pubblico and dst port 80"
e
Codice:
tcpdump -n "dst host 192.168.0.105 and dst port 80"
Provare ad accedere e vedere cosa passa ....
ciao
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Mer Feb 08, 2017 4:44 pm    Oggetto: Rispondi citando

Redfive

sto legegndo questo manuale pdf vedo se risolvo,

http://www.zeroshell.net/listing/configurare-zeroshell-con-iptables.pdf

ma una cosa io i comandi iptable li ho sempre messi in cro/job alla voce Nat e virtual server


da console andando in shell comando s,
come dai i comandi iptable?

scusa ignoranza

adesso in cron/job alla voce nat e virtual server ho dato queste iptable

iptables -t nat -A PREROUTING -p tcp --dport 80 -d 109.104.225.15 -i ETH03 -j DNAT --to-destination 192.168.0.105:80

iptables -t nat -I POSTROUTING 1 -s 192.168.0.105 -o ETH03 -j SNAT --to 109.104.225.15

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -d 192.168.0.105 -o BRIDGE00 -p tcp --dport 80 -j MASQUERADE

spero di ritorno a casa funga.

non mi è chiara la seconda iptable a che server di post routing

mentre la prima io inserivo bridg00 mentre dovevo mettere la wan che sta su eth03 giusto? quella che fornisce internet insomma
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Mer Feb 08, 2017 7:00 pm    Oggetto: Rispondi citando

Scusa, nella regoal di PREROUTING, prova a mettere anche la porta
Codice:
--to-dest 192.168.0.105:80

Quando un host dalla lan tenta di accedere al tuo ip pubblico sulla tcp 80, la regola in PREROUTING lo reindirizza al 192.168.0.105, tale host vede le richieste provenire dalla sua stessa rete di appartenenza (192.168.0.0/xx), quindi, cercherebbe di rispondere direttamente (via ARP).
Se usassi un a DMZ, questa regola non sarebbe necessaria.
ciao
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Mer Feb 08, 2017 7:24 pm    Oggetto: Rispondi citando

ma alla voce tua.ETHXX.lan

devo mettere la eth03 della wan o bridge00 della lan interna?

iptables -t nat -I PREROUTING -s 192.168.0.0/24 -d tuo.ip.pubblico -i tua.ETHXX.lan -p tcp --dport 80 -j DNAT --to-dest 192.168.0.105:80

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -d 192.168.0.105 -o tua.ETHXX.lan -p tcp --dport 80 -j MASQUERADE
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Mer Feb 08, 2017 8:44 pm    Oggetto: Rispondi citando

Un quarto d'ora di tempo, ho buttato giu' una cosa simile alla tua nella mia rete, ETH00 192.168.192.0/26, dispositivo con web server https 192.168.192.5, un altro router davanti a ZS, con pubblico 31.157.xx.yy.
Con solo questa regola
Codice:
iptables -t nat -I PREROUTING -s 192.168.192.0/26 -d 31.157.xx.yy -i ETH00 -p tcp --dport 443 -j DNAT --to-dest 192.168.192.5:443

Se da un host (192.168.192.2) della ETH00 provo a puntare il pubblico della altro router sulla tcp 443, si vedono i pacchetti in forwardati all'host 192.168.192.5
Codice:
root@server01 ~> iptables -t nat -nvL PREROUTING
Chain PREROUTING (policy ACCEPT 947 packets, 65684 bytes)
 pkts bytes target     prot opt in     out     source               destination
    9   540 DNAT       tcp  --  ETH00  *       192.168.192.0/26     31.157.xx.yy         tcp dpt:443 to:192.168.192.5:443
root@server01 ~>

Ma si vede anche che 192.168.192.5 'chiede' che mac-address ha 192.168.192.2
Codice:
root@server01 ~> tcpdump -n -i ETH00 -c 20  host 192.168.192.5
tcpdump: WARNING: ETH00: no IPv4 address assigned
tcpdump: listening on ETH00
20:21:46.090927 192.168.192.2.8721 > 192.168.192.5.443: S 3035626994:3035626994(0) win 8192 <mss 1460,nop,wscale 2,sackOK,timestamp 4553889 0> (DF)
20:21:46.092073 arp who-has 192.168.192.2 tell 192.168.192.5

Se invece aggiungi anche
Codice:
iptables -t nat -I POSTROUTING -s 192.168.192.0/26 -d 192.168.192.5 -o ETH00 -p tcp --dport 443 -j SNAT --to-source 192.168.192.1

La comunicazione 'passa' attraverso il def-gw (192.168.192.1)
Codice:
root@server01 ~> tcpdump -n -i ETH00 -c 20  host 192.168.192.5
tcpdump: WARNING: ETH00: no IPv4 address assigned
tcpdump: listening on ETH00
20:22:52.603236 192.168.192.1.8740 > 192.168.192.5.443: S 3494827668:3494827668(0) win 8192 <mss 1460,nop,wscale 2,sackOK,timestamp 4560540 0> (DF)
20:22:52.603571 192.168.192.5.443 > 192.168.192.1.8740: S 2364804672:2364804672(0) ack 3494827669 win 5792 <mss 1460,sackOK,timestamp 4294802366 4560540,nop,wscale 1> (DF)
20:22:52.604056 192.168.192.1.8740 > 192.168.192.5.443: . ack 1 win 16652 <nop,nop,timestamp 4560541 4294802366> (DF)
20:22:52.604345 192.168.192.1.8740 > 192.168.192.5.443: P 1:152(151) ack 1 win 16652 <nop,nop,timestamp 4560541 4294802366> (DF)
20:22:52.604629 192.168.192.5.443 > 192.168.192.1.8740: . ack 152 win 2896 <nop,nop,timestamp 4294802367 4560541> (DF)
20:22:54.039572 192.168.192.5.443 > 192.168.192.1.8740: P 1:1373(1372) ack 152 win 2896 <nop,nop,timestamp 4294803802 4560541> (DF)
Ed avviene correttamente.......
ciao
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Mer Feb 08, 2017 8:55 pm    Oggetto: Rispondi citando

allora redfive
innanzi tutto grazie per il tempo dedicato.

allora
con queste regole che mi hai dato mettendo :80 finale che avevi omesso

dai pc della lan il nat loopback funge ora

Codice:
iptables -t nat -I PREROUTING -s 192.168.0.0/24 -d 109.104.225.15 -i BRIDGE00 -p tcp --dport 80 -j DNAT --to-dest 192.168.0.105:80

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -d 192.168.0.105 -o BRIDGE00 -p tcp --dport 80 -j MASQUERADE



cosa strana pero da un cellulare in wifi va in errore time out la rotellina gira e non carica cosa può essere?
ovviamente la wifi sta nel bridge insieme a web server e ai pc in lan


L'ultima modifica di tiger il Mer Feb 08, 2017 10:59 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Mer Feb 08, 2017 9:05 pm    Oggetto: Rispondi citando

Logs o tcpdump, vedi cosa succede ....
ciao
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Mer Feb 08, 2017 9:08 pm    Oggetto: Rispondi citando

Credo che il problema per i terminali wifi é che ap alla fine é un router ap la cui wan é scollegato e uso le 4 porte lan come switch con dhcp disabilitato può essere?

Un altra cosa nella sezione router virtual server la porta 80 su 192.168.0.105 del mini server devo cmq tenerla attiva o bastano le regole iptables?
Ho aggiunto anche iptable snat come gateway metto quello di zs giusto visto che é lui a gestire tutto
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Mer Feb 08, 2017 10:50 pm    Oggetto: Rispondi citando

Infatti essendo un router ap avrei dovuto creare regole iptables anche lì.
Per mascherare la provenienza. Sebbene la Wi-Fi non ha dhcp del router ap non posso dargli in pasto iptable.

Modello tpkink 940n
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Ven Giu 02, 2017 11:10 pm    Oggetto: Rispondi citando

Grazie a Redfive per il natloopback tutto ok,

ma per quel problema che da lan andava e da wif a wifi no

Ma ho Notato che appena do il comando


Codice:
tcpdump -n -i BRIDGE00 "dst host 109.104.225.15 and dst port 443
"

oppure

t
Codice:
cpdump -n -i BRIDGE00 "dst host 192.168.6.6 and dst port 443"


da shell, il natloopback mi inizia a funzionare anche con dispositivi wifi

quindi fra raspberry server wifi e dispositivi mobili wifi

sebbene non genera nessun codice la chiamata però...


Codice:
root@zeroshell ~> tcpdump -n -i BRIDGE00 "dst host 109.104.225.15 and dst port 443"
tcpdump: WARNING: BRIDGE00: no IPv4 address assigned
tcpdump: listening on BRIDGE00


rimane cosi

mentre con tcpdump ip lan non quello pubblico da anche report

Codice:
root@zeroshell ~> tcpdump -n -i BRIDGE00 "dst host 192.168.6.6 and dst port 443"
tcpdump: WARNING: BRIDGE00: no IPv4 address assigned
tcpdump: listening on BRIDGE00
00:09:21.496898 192.168.6.3.57399 > 192.168.6.6.443: S 1422973032:1422973032(0) win 65535 <mss 1460,sackOK,timestamp 10325838 0,nop,wscale 7> (DF)
00:09:21.497165 192.168.6.75.57399 > 192.168.6.6.443: S 1422973032:1422973032(0) win 65535 <mss 1460,sackOK,timestamp 10325838 0,nop,wscale 7> (DF)
00:09:21.503865 192.168.6.3.57399 > 192.168.6.6.443: . ack 2670205236 win 685 <nop,nop,timestamp 10325839 650341> (DF)
00:09:21.504035 192.168.6.75.57399 > 192.168.6.6.443: . ack 2670205236 win 685 <nop,nop,timestamp 10325839 650341> (DF)
00:09:21.504390 192.168.6.3.57399 > 192.168.6.6.443: P 0:517(517) ack 1 win 685 <nop,nop,timestamp 10325839 650341> (DF)
00:09:21.504600 192.168.6.75.57399 > 192.168.6.6.443: P 0:517(517) ack 1 win 685 <nop,nop,timestamp 10325839 650341> (DF)
00:09:21.510164 192.168.6.3.57399 > 192.168.6.6.443: . ack 138 win 693 <nop,nop,timestamp 10325840 650342> (DF)
00:09:21.510323 192.168.6.75.57399 > 192.168.6.6.443: . ack 138 win 693 <nop,nop,timestamp 10325840 650342> (DF)
00:09:21.511085 192.168.6.3.57399 > 192.168.6.6.443: P 517:568(51) ack 138 win 693 <nop,nop,timestamp 10325840 650342> (DF)
00:09:21.511191 192.168.6.75.57399 > 192.168.6.6.443: P 517:568(51) ack 138 win 693 <nop,nop,timestamp 10325840 650342> (DF)
00:09:21.512509 192.168.6.3.57399 > 192.168.6.6.443: P 568:1188(620) ack 138 win 693 <nop,nop,timestamp 10325840 650342> (DF)
00:09:21.512674 192.168.6.75.57399 > 192.168.6.6.443: P 568:1188(620) ack 138 win 693 <nop,nop,timestamp 10325840 650342> (DF)
00:09:21.557559 192.168.6.3.57399 > 192.168.6.6.443: . ack 797 win 704 <nop,nop,timestamp 10325845 650343> (DF)
00:09:21.557713 192.168.6.75.57399 > 192.168.6.6.443: . ack 797 win 704 <nop,nop,timestamp 10325845 650343> (DF)
00:09:21.561888 192.168.6.3.57399 > 192.168.6.6.443: P 1188:1809(621) ack 797 win 704 <nop,nop,timestamp 10325845 650343> (DF)
00:09:21.562076 192.168.6.75.57399 > 192.168.6.6.443: P 1188:1809(621) ack 797 win 704 <nop,nop,timestamp 10325845 650343> (DF)
00:09:21.582036 192.168.6.3.57399 > 192.168.6.6.443: . ack 2245 win 726 <nop,nop,timestamp 10325847 650349> (DF)
00:09:21.582219 192.168.6.75.57399 > 192.168.6.6.443: . ack 2245 win 726 <nop,nop,timestamp 10325847 650349> (DF)
00:09:21.582477 192.168.6.3.57399 > 192.168.6.6.443: . ack 2762 win 749 <nop,nop,timestamp 10325847 650349> (DF)
00:09:21.582620 192.168.6.75.57399 > 192.168.6.6.443: . ack 2762 win 749 <nop,nop,timestamp 10325847 650349> (DF)
00:09:26.757693 192.168.6.3.57399 > 192.168.6.6.443: . ack 2763 win 749 <nop,nop,timestamp 10326365 650850> (DF)
00:09:26.757890 192.168.6.75.57399 > 192.168.6.6.443: . ack 2763 win 749 <nop,nop,timestamp 10326365 650850> (DF)
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Dom Giu 04, 2017 2:43 pm    Oggetto: Rispondi citando

@Redfive tengo a precisare che il nat loopback fra raspberry in Wi-Fi e un terminale qualunque in Wi-Fi va solo se lancio comando tcpdump

Appena chiudo la shell il nat loopback Wi-Fi Wi-Fi nn va più funge solo fra raspberry Wi-Fi e i pc connessi in LAN. Mah...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it