Re: Bridge e iptables
Juan: Aclaro la situación, a ver si pueden ayudarme a resolver el acertijo. Tengo un bridge entre eth2 y eth1. La red del bridge es 10.0.0.0/24. La red de eth0, que actuaría de WAN, es 192.168.0.0/24 -es un ambiente de prueba- El equipo de prueba está conectado al router través de la nic eth2. Con la policy ACCEPT en FORWARD y haciendo SNAT entre la red 10 y la 192, todo funciona según lo esperado. Si cambio la política a DROP en FORWARD, las conexiones no se resuelven, como es de esperarse también. Ahora viene el inconveniente: con la policy DROP en FORWARD, habilito solamente lo que quiero dejar pasar, por ej. ICMP desde la red 10. Lo habilité de las siguiente manera: iptables -A FORWARD -m physdev --physdev-in eth2 -p icmp -j ACCEPT Utilicé la opción -m con physdev porque, según estuve leyendo, esta es la forma correcta de manejar las conexiones con un bridge actuando en el escenario. En la tabla de iptables veo los paquetes, el contador avanza, pero no hay respuesta de ping. Solo habilité, en ../ipv4/ el bit en ip_forward. Espero que haya quedado claro ahora. Y gracias por responder. Un saludo a la comunidad, El 9 de marzo de 2011 09:21, Juan Antonio push...@limbo.ari.es escribió: El 09/03/11 13:01, Demián Pazos escribió: David: Gracias por responder. Creo que, entre otras pruebas, verifiqué esto que tipeás vos. Esta es la solución propuesta en el apartado Bridge en openvpn.net. Voy a testearlo en un entorno de prueba, y luego les escribo. Un saludo, El 5 de marzo de 2011 17:26, david martinez damars...@gmail.comescribió: En el default de init.d de openvpn tienes los siguiente: echo 1 /proc/sys/net/ipv4/ip_forward iptables -v -A INPUT -i tap0 -j ACCEPT iptables -v -A INPUT -i br0 -j ACCEPT iptables -v -A FORWARD -i br0 -j ACCEPT Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que incluyen 2 scripts que levantan y bajan el bridge. El 5 de marzo de 2011 21:09, Demián Pazos demian...@gmail.com escribió: Listeros de Debian: Estoy montando un bridge para utilizar con OpenVPN. El escenario es el siguiente: eth0: WAN eth1: LAN tap0: OpenVPN br0 : bridge entre eth1 y tap0 La policy de la cadena FORWARD es DROP, y abro las conexiones según se requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin resultado. También probé la opción -m physdev --physdev-in eth1 para establecer la NIC física, pero los paquetes siguen sin pasar por la cadena. Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel 2.6 Muchas gracias a todos, -- Demian -- Demian En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿A que te refieres con esto exactamente? La regla que escribes para permitir el tráfico ¿Crecen sus contadores iptables -vnL FORWARD? Añade una regla sencilla por ejemplo para el icmp y comprueba si hay coincidencias viendo si el contador crece o bien añadiendo una regla igual pero que salte a LOG. Por ejemplo iptables -P FORWARD DROP iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j ACCEPT Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y bytes o iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1 -j LOG --log-prefix 'basura ' y mira en el syslog si escribe algo. -- Demian
Re: Bridge e iptables
Tal y como lo expones diría que lo que falla es el reply, tienes que habilitar el icmp, si no quieres todo al menos el echo reply, type 8 creo, de vuelta desde la red conectada en eth0. Usa tcpdump para confirmar que ves el reply en el cortafuegos, y que realmente se esta enmascarando el tráfico. Un saludo El 16/03/11 16:30, Demián Pazos escribió: Juan: Aclaro la situación, a ver si pueden ayudarme a resolver el acertijo. Tengo un bridge entre eth2 y eth1. La red del bridge es 10.0.0.0/24. La red de eth0, que actuaría de WAN, es 192.168.0.0/24 -es un ambiente de prueba- El equipo de prueba está conectado al router través de la nic eth2. Con la policy ACCEPT en FORWARD y haciendo SNAT entre la red 10 y la 192, todo funciona según lo esperado. Si cambio la política a DROP en FORWARD, las conexiones no se resuelven, como es de esperarse también. Ahora viene el inconveniente: con la policy DROP en FORWARD, habilito solamente lo que quiero dejar pasar, por ej. ICMP desde la red 10. Lo habilité de las siguiente manera: iptables -A FORWARD -m physdev --physdev-in eth2 -p icmp -j ACCEPT Utilicé la opción -m con physdev porque, según estuve leyendo, esta es la forma correcta de manejar las conexiones con un bridge actuando en el escenario. En la tabla de iptables veo los paquetes, el contador avanza, pero no hay respuesta de ping. Solo habilité, en ../ipv4/ el bit en ip_forward. Espero que haya quedado claro ahora. Y gracias por responder. Un saludo a la comunidad, El 9 de marzo de 2011 09:21, Juan Antonio push...@limbo.ari.es escribió: El 09/03/11 13:01, Demián Pazos escribió: David: Gracias por responder. Creo que, entre otras pruebas, verifiqué esto que tipeás vos. Esta es la solución propuesta en el apartado Bridge en openvpn.net. Voy a testearlo en un entorno de prueba, y luego les escribo. Un saludo, El 5 de marzo de 2011 17:26, david martinez damars...@gmail.comescribió: En el default de init.d de openvpn tienes los siguiente: echo 1 /proc/sys/net/ipv4/ip_forward iptables -v -A INPUT -i tap0 -j ACCEPT iptables -v -A INPUT -i br0 -j ACCEPT iptables -v -A FORWARD -i br0 -j ACCEPT Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que incluyen 2 scripts que levantan y bajan el bridge. El 5 de marzo de 2011 21:09, Demián Pazos demian...@gmail.com escribió: Listeros de Debian: Estoy montando un bridge para utilizar con OpenVPN. El escenario es el siguiente: eth0: WAN eth1: LAN tap0: OpenVPN br0 : bridge entre eth1 y tap0 La policy de la cadena FORWARD es DROP, y abro las conexiones según se requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin resultado. También probé la opción -m physdev --physdev-in eth1 para establecer la NIC física, pero los paquetes siguen sin pasar por la cadena. Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel 2.6 Muchas gracias a todos, -- Demian -- Demian En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿A que te refieres con esto exactamente? La regla que escribes para permitir el tráfico ¿Crecen sus contadores iptables -vnL FORWARD? Añade una regla sencilla por ejemplo para el icmp y comprueba si hay coincidencias viendo si el contador crece o bien añadiendo una regla igual pero que salte a LOG. Por ejemplo iptables -P FORWARD DROP iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j ACCEPT Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y bytes o iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1 -j LOG --log-prefix 'basura ' y mira en el syslog si escribe algo. -- Tanto en los deportes como en todo lo demás, soy un experto. Pero para mantener viva mi inteligencia natural y fuera de serie, tengo que comer mucho -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d80dac5.5060...@limbo.ari.es
Re: Bridge e iptables
David: Gracias por responder. Creo que, entre otras pruebas, verifiqué esto que tipeás vos. Esta es la solución propuesta en el apartado Bridge en openvpn.net. Voy a testearlo en un entorno de prueba, y luego les escribo. Un saludo, El 5 de marzo de 2011 17:26, david martinez damars...@gmail.com escribió: En el default de init.d de openvpn tienes los siguiente: echo 1 /proc/sys/net/ipv4/ip_forward iptables -v -A INPUT -i tap0 -j ACCEPT iptables -v -A INPUT -i br0 -j ACCEPT iptables -v -A FORWARD -i br0 -j ACCEPT Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que incluyen 2 scripts que levantan y bajan el bridge. El 5 de marzo de 2011 21:09, Demián Pazos demian...@gmail.com escribió: Listeros de Debian: Estoy montando un bridge para utilizar con OpenVPN. El escenario es el siguiente: eth0: WAN eth1: LAN tap0: OpenVPN br0 : bridge entre eth1 y tap0 La policy de la cadena FORWARD es DROP, y abro las conexiones según se requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin resultado. También probé la opción -m physdev --physdev-in eth1 para establecer la NIC física, pero los paquetes siguen sin pasar por la cadena. Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel 2.6 Muchas gracias a todos, -- Demian -- Demian
Re: Bridge e iptables
El 09/03/11 13:01, Demián Pazos escribió: David: Gracias por responder. Creo que, entre otras pruebas, verifiqué esto que tipeás vos. Esta es la solución propuesta en el apartado Bridge en openvpn.net http://openvpn.net. Voy a testearlo en un entorno de prueba, y luego les escribo. Un saludo, El 5 de marzo de 2011 17:26, david martinez damars...@gmail.com mailto:damars...@gmail.com escribió: En el default de init.d de openvpn tienes los siguiente: echo 1 /proc/sys/net/ipv4/ip_forward iptables -v -A INPUT -i tap0 -j ACCEPT iptables -v -A INPUT -i br0 -j ACCEPT iptables -v -A FORWARD -i br0 -j ACCEPT Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que incluyen 2 scripts que levantan y bajan el bridge. El 5 de marzo de 2011 21:09, Demián Pazos demian...@gmail.com mailto:demian...@gmail.com escribió: Listeros de Debian: Estoy montando un bridge para utilizar con OpenVPN. El escenario es el siguiente: eth0: WAN eth1: LAN tap0: OpenVPN br0 : bridge entre eth1 y tap0 La policy de la cadena FORWARD es DROP, y abro las conexiones según se requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin resultado. También probé la opción -m physdev --physdev-in eth1 para establecer la NIC física, pero los paquetes siguen sin pasar por la cadena. Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel 2.6 Muchas gracias a todos, -- Demian -- Demian En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿A que te refieres con esto exactamente? La regla que escribes para permitir el tráfico ¿Crecen sus contadores iptables -vnL FORWARD? Añade una regla sencilla por ejemplo para el icmp y comprueba si hay coincidencias viendo si el contador crece o bien añadiendo una regla igual pero que salte a LOG. Por ejemplo iptables -P FORWARD DROP iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j ACCEPT Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y bytes o iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1 -j LOG --log-prefix 'basura ' y mira en el syslog si escribe algo.
Re: Bridge e iptables
En el default de init.d de openvpn tienes los siguiente: echo 1 /proc/sys/net/ipv4/ip_forward iptables -v -A INPUT -i tap0 -j ACCEPT iptables -v -A INPUT -i br0 -j ACCEPT iptables -v -A FORWARD -i br0 -j ACCEPT Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que incluyen 2 scripts que levantan y bajan el bridge. El 5 de marzo de 2011 21:09, Demián Pazos demian...@gmail.com escribió: Listeros de Debian: Estoy montando un bridge para utilizar con OpenVPN. El escenario es el siguiente: eth0: WAN eth1: LAN tap0: OpenVPN br0 : bridge entre eth1 y tap0 La policy de la cadena FORWARD es DROP, y abro las conexiones según se requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin resultado. También probé la opción -m physdev --physdev-in eth1 para establecer la NIC física, pero los paquetes siguen sin pasar por la cadena. Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel 2.6 Muchas gracias a todos, -- Demian