Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Virtual Server e masquerading: dove mi perdo?

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
DarknessBBB



Registrato: 12/11/10 11:19
Messaggi: 18

MessaggioInviato: Ven Nov 10, 2017 9:49 pm    Oggetto: Virtual Server e masquerading: dove mi perdo? Rispondi citando

Ciao a tutti, innanzitutto espongo la mia configurazione

ETH03: WAN 192.168.3.2

ETH01: LAN 10.0.0.1 (la lan è 10.0.0.0/24)

Gateway impostato su 192.168.3.1 (IP del router del nostro fornitore)

Il mio problema è nel port forwarding (Virtual Server in Zeroshell).
In buona sostanza tutto funziona correttamente, ma i vari server all'interno della lan ricevono le connessioni dall'esterno sempre con l'IP di zeroshell (10.0.0.1) scombinando non poco i log e i vari servizi di sicurezza.

Attualmente il NAT è abilitato solo per ETH03, se provo a disabilitarlo semplicemente dall'esterno non riesco ad accedere più ai diversi server.

Un esempio:
Citazione:
Received: from mail-wm0-f52.google.com (10.0.0.1) by
nostro_server_diposta (10.0.0.11) with Microsoft SMTP Server (TLS) id
14.2.247.3; Fri, 10 Nov 2017 21:35:43 +0100
Received: by mail-wm0-f52.google.com with SMTP id r68so5039952wmr.3 for etc etc



Qualche suggerimento?

Incollo un po' di configurazioni:

Codice:
Chain PREROUTING (policy ACCEPT 1695 packets, 143K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110 to:10.0.0.11:110
    0     0 DNAT       udp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            udp dpt:110 to:10.0.0.11:110
    0     0 DNAT       tcp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143 to:10.0.0.11:143
    0     0 DNAT       udp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            udp dpt:143 to:10.0.0.11:143
    0     0 DNAT       tcp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:10.0.0.11:80
    0     0 DNAT       udp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            udp dpt:80 to:10.0.0.11:80
  133  9275 DNAT       tcp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:10.0.0.11:443
    0     0 DNAT       udp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            udp dpt:443 to:10.0.0.11:443
   15   812 DNAT       tcp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 to:10.0.0.11:25
    0     0 DNAT       udp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            udp dpt:25 to:10.0.0.11:25

Chain POSTROUTING (policy ACCEPT 568 packets, 34895 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2776  195K SNATVS     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      VPN06   0.0.0.0/0            0.0.0.0/0           
 2145  145K OpenVPN    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  703 58591 MASQUERADE  all  --  *      ETH03   0.0.0.0/0            0.0.0.0/0           

Chain SNATVS (1 references)
 pkts bytes target     prot opt in     out     source               destination 


Grazie mille a tutti


L'ultima modifica di DarknessBBB il Ven Nov 10, 2017 10:16 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
DarknessBBB



Registrato: 12/11/10 11:19
Messaggi: 18

MessaggioInviato: Ven Nov 10, 2017 10:08 pm    Oggetto: Rispondi citando

Aggiungo una ulteriore info, non so se correlata. Su zeroshell sono attive anche diverse VPN, e anche le connessioni da client dietro queste vpn vengono mascherate con l'IP di zeroshell, nonostaste il nat non sia abilitato (lo è solo per ETH03).

Queste le regole di routing:

Codice:
Destination   Netmask   Type   Metric   Gateway   Interface   Flags   State   Source
DEFAULT GATEWAY   0.0.0.0   Net   0   192.168.3.1   ETH01   UG   Up   Static
10.0.0.0   255.255.255.0   Net   0   none   ETH03   U   Up   Auto
10.0.1.0   255.255.255.0   Net   0   10.2.0.2   VPN00   UG   Up   Static
10.0.2.0   255.255.255.0   Net   0   10.3.0.2   VPN07   UG   Up   Static
10.0.4.0   255.255.255.0   Net   0   10.4.0.2   VPN06   UG   Up   Static
10.0.5.0   255.255.255.0   Net   0   10.5.0.2   VPN02   UG   Up   Static
10.0.7.0   255.255.255.0   Net   0   10.7.0.2   VPN04   UG   Up   Static
10.2.0.0   255.255.255.0   Net   0   none   VPN00   U   Up   Auto
10.3.0.0   255.255.255.0   Net   0   none   VPN07   U   Up   Auto
10.4.0.0   255.255.255.0   Net   0   none   VPN06   U   Up   Auto
10.5.0.0   255.255.255.0   Net   0   none   VPN02   U   Up   Auto
10.7.0.0   255.255.255.0   Net   0   none   VPN04   U   Up   Auto
192.168.3.0   255.255.255.0   Net   0   none   ETH01   U   Up   Auto
192.168.250.0   255.255.255.0   Net   0   none   VPN99   U   Up   Auto
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 120

MessaggioInviato: Dom Nov 12, 2017 12:56 pm    Oggetto: Rispondi citando

Disabilita il NAT di ZS, metti le regole di Forward e carica come DG l'IP del router del fornitore, che fa già di suo NAT (giusto?)

Ciau!

DarknessBBB ha scritto:
Aggiungo una ulteriore info, non so se correlata. Su zeroshell sono attive anche diverse VPN, e anche le connessioni da client dietro queste vpn vengono mascherate con l'IP di zeroshell, nonostaste il nat non sia abilitato (lo è solo per ETH03).

Queste le regole di routing:

Codice:
Destination   Netmask   Type   Metric   Gateway   Interface   Flags   State   Source
DEFAULT GATEWAY   0.0.0.0   Net   0   192.168.3.1   ETH01   UG   Up   Static
10.0.0.0   255.255.255.0   Net   0   none   ETH03   U   Up   Auto
10.0.1.0   255.255.255.0   Net   0   10.2.0.2   VPN00   UG   Up   Static
10.0.2.0   255.255.255.0   Net   0   10.3.0.2   VPN07   UG   Up   Static
10.0.4.0   255.255.255.0   Net   0   10.4.0.2   VPN06   UG   Up   Static
10.0.5.0   255.255.255.0   Net   0   10.5.0.2   VPN02   UG   Up   Static
10.0.7.0   255.255.255.0   Net   0   10.7.0.2   VPN04   UG   Up   Static
10.2.0.0   255.255.255.0   Net   0   none   VPN00   U   Up   Auto
10.3.0.0   255.255.255.0   Net   0   none   VPN07   U   Up   Auto
10.4.0.0   255.255.255.0   Net   0   none   VPN06   U   Up   Auto
10.5.0.0   255.255.255.0   Net   0   none   VPN02   U   Up   Auto
10.7.0.0   255.255.255.0   Net   0   none   VPN04   U   Up   Auto
192.168.3.0   255.255.255.0   Net   0   none   ETH01   U   Up   Auto
192.168.250.0   255.255.255.0   Net   0   none   VPN99   U   Up   Auto
Top
Profilo Invia messaggio privato
DarknessBBB



Registrato: 12/11/10 11:19
Messaggi: 18

MessaggioInviato: Lun Nov 13, 2017 1:12 am    Oggetto: Rispondi citando

Ciao,
come default gateway già c'è quello del router.Dici di disabilitare le regole nella sezione virtual server e rifare le regole manualmente tramite script di boot?
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 120

MessaggioInviato: Lun Nov 13, 2017 5:13 pm    Oggetto: Rispondi citando

Ciao,

per far funzionare tutto senza il doppio NAT (meno regole da configurare all'aperturea di una nuova porta) occorre disabilitare il NAT, mettere a posto le regole di Forwarding nel firewall, lasciare il DG su 192.168.3.1

Lato router fornitore, inserire la rotta statica per 10.0.0.0/24 su 192.168.3.2.

Nel nat der router del fornitore quindi sarà port ext verso 10.x.x.x.

Non so se così risolvi il problema ma fai prima ad aprire nuove porte.





DarknessBBB ha scritto:
Ciao,
come default gateway già c'è quello del router.Dici di disabilitare le regole nella sezione virtual server e rifare le regole manualmente tramite script di boot?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Mer Nov 15, 2017 5:47 pm    Oggetto: Rispondi citando

In PREROUTING vedo solo regole relative all'interfaccia ETH01, la wan non è ETH03 (e che esegue il NAT-Masquerade) ?
Top
Profilo Invia messaggio privato
DarknessBBB



Registrato: 12/11/10 11:19
Messaggi: 18

MessaggioInviato: Ven Nov 17, 2017 11:45 am    Oggetto: Rispondi citando

Ho notato che anche le connessioni provenienti dalle altre lan in VPN lan to lan vengono mascherate con l'ip di zeroshell, nonostante non ci sia nat abilitato su entrambi gli zeroshell
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Ven Nov 17, 2017 12:35 pm    Oggetto: Rispondi citando

In POSTROUTING, c'è un masquerade sulla VPN06, ma continuo a non capire i PREROUTING sulla ETH01, se la wan è la ETH03 ...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it