Iptables impedisce navigazione a macchina su LAN

La rete, Internet, configurazione di Servizi e tutto ciò che permette la comunicazione tra macchine

Iptables impedisce navigazione a macchina su LAN

Messaggioda debluke » 15/07/2020, 13:50

Ciao,
Ho due macchine debian 10.4 installte come VM in Vmware workstation per studiare un po' le problematiche di rete.
la prima macchina è collegata in modalità bridge alla mia rete lan fisica e riceve l'Ip direttamente dal router di casa su internfaccia ens33; la seconda è collegata su LAN interna (interfaccia ens37) virtuale alla prima macchina linux che in pratica fa da server dhcp/dns e firewall per quest'ultima. Sia il server che il client potevano navigare in internet senza problemi..fino a quando non ho deciso di sperimentare un po' con iptables.
Questa la situazione da ifconfig su macchina server:

Codice: Seleziona tutto
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.3.96  netmask 255.255.255.0  broadcast 192.168.3.255
        inet6 fe80::20c:29ff:fece:ddbb  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:ce:dd:bb  txqueuelen 1000  (Ethernet)
        RX packets 19  bytes 2464 (2.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 84  bytes 12141 (11.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.10.10.1  netmask 255.255.255.0  broadcast 10.10.10.255
        inet6 fe80::20c:29ff:fece:ddc5  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:ce:dd:c5  txqueuelen 1000  (Ethernet)
        RX packets 34  bytes 5351 (5.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 80  bytes 11991 (11.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 11  bytes 534 (534.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 11  bytes 534 (534.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0



la macchina client è collegata alla ens37

Queste le impostazioni di iptables:

Codice: Seleziona tutto
root@debianser:~# iptables -L -n -v
Chain INPUT (policy DROP 385 packets, 40220 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 20,21,22,80,443,6000:6010,10000
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 143,110,25
   16  1623 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  ens33  *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      ens33   0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 162 packets, 21126 bytes)
 pkts bytes target     prot opt in     out     source               destination         
# Warning: iptables-legacy tables present, use iptables-legacy to see them


Come dicevo, dalla macchina debian server riesco ad accedere ad internet senza problema e a navigare, dalla client riesco solo a far ping esterni, ma non agli IP delle interfacce e non riesco nemmeno a navigare.
Cosa manca?
Grazie
debluke
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 01/07/2020, 9:59

Re: Iptables impedisce navigazione a macchina su LAN

Messaggioda debluke » 16/07/2020, 9:20

UPDATE: ok ho aggiunto alle regole:
iptables -I INPUT 4 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

poi ho dato:
journalctl -kf

ottenendo questo:
Codice: Seleziona tutto
root@debianser:~# journalctl -kf
-- Logs begin at Thu 2020-07-16 09:41:21 CEST. --
lug 16 09:50:43 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=10631 DF PROTO=UDP SPT=40454 DPT=53 LEN=47
lug 16 09:50:43 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=10632 DF PROTO=UDP SPT=40454 DPT=53 LEN=47
lug 16 09:50:48 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=77 TOS=0x00 PREC=0x00 TTL=64 ID=10746 DF PROTO=UDP SPT=41266 DPT=53 LEN=57
lug 16 09:50:53 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=77 TOS=0x00 PREC=0x00 TTL=64 ID=11839 DF PROTO=UDP SPT=41266 DPT=53 LEN=57
lug 16 09:51:03 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=13648 DF PROTO=UDP SPT=36123 DPT=53 LEN=47
lug 16 09:51:18 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=15863 DF PROTO=UDP SPT=34900 DPT=53 LEN=47
lug 16 09:51:28 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=77 TOS=0x00 PREC=0x00 TTL=64 ID=16827 DF PROTO=UDP SPT=44995 DPT=53 LEN=57
lug 16 09:51:38 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=17971 DF PROTO=UDP SPT=44884 DPT=53 LEN=47
lug 16 09:51:53 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=77 TOS=0x00 PREC=0x00 TTL=64 ID=20363 DF PROTO=UDP SPT=50545 DPT=53 LEN=57
lug 16 09:52:02 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:xx:00:0c:xx:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=30872 DF PROTO=ICMP TYPE=8 CODE=0 ID=1356 SEQ=4
lug 16 09:52:14 debianser kernel: iptables denied: IN=ens37 OUT= MAC=00:0c:xx:ce:dd:c5:00:0c:29:3e:44:d0:08:00 SRC=10.10.10.10 DST=10.10.10.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=32538 DF PROTO=ICMP TYPE=8 CODE=0 ID=1356 SEQ=15



poi aggiunto:

iptables -A INPUT -p icmp -j ACCEPT

e adesso riesco a pingare gli IP lato lan e wan del server. Non so ancora come muovermi per la navigazione.

UPDATE:
Risolto:

Codice: Seleziona tutto
root@debianser:~# iptables -A INPUT -i ens37 -s 10.10.10.0/24 -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
root@debianser:~# iptables -A INPUT -i ens37 -s 10.10.10.0/24 -p tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
debluke
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 01/07/2020, 9:59


Torna a Network

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron