Дырявый NAT?!

[Prince]

Дырявый NAT?!

Просьба знающих помочь в достижении просветления.

Есть в миру сервер. с ИП, допустим, 2.2.2.2
под дебианом
на нем развернуты несколько ВПС. На ВПСах ЦентОС. И ИП, допустим, 3.3.3.1 - 3.3.3.5
На каждый ВПС лежит GRE туннель. С серыми внутренними ИП. Допустим, 172.16.1.1/30 - 172.16.17/30
На каждом ВПС построен НАТ с серых ИП в белые.
т.е. 172.16.1.2 -> 3.3.3.1, 172.16.1.6 -> 3.3.3.2 и т.д.

Через туннели течет трафик, НАТится на ВПСах и приносит заказчику вожделенный профит. И все было бы замечательно НО:
время от времени через внешние ифейсы ВПСов вылетают пакеты с сорц ИП 172.16.1.2 и т.п.
Вылетают редко, но ДЦ ругается. И грозит плёткой.

Что сделано: на Dom0 запрещен с внешнего ифейса (который 2.2.2.2) исходящий трафик с ИП отличным от 2.2.2.2
iptables -A OUTPUT -o xenbr0 -s ! 2.2.2.2 -j DROP
не помогло.
на ВПСах запрещен исходящий с внешних ифейсов траф с ИП отличных от их собственных
iptables -A OUTPUT -o eth0 -s ! 3.3.3.1 -j DROP

Количество вылетающих "левых" пакетов уменьшилось, но не стало нулевым. ДЦ продолжает ругаться.

Вопросы стандартны: "Кто виноват?" и "Что делать?"
а если точнее, то:
1) Как этот трафик умудряется просочиться через NAT и DROP?
2) Как ему СОВСЕМ запретить это делать?

Я, откровенно говоря впервые сталкиваюсь с таким эффектом и немного в растерянности.

Заранее спасибо.

ЗЫ: Акронис, борщ и котлеты не предлагать.

 

[Гість 6636]

А если построить правила наоборот? Разрешить только 2.2.2.2, потом запретить все остальное вообще?

 

[Prince]

А если построить правила наоборот? Разрешить только 2.2.2.2, потом запретить все остальное вообще?

Пробовался даже прямой запрет указанных "серых" ИП:
iptables -A OUTPUT -s 172.16.0.0/16 -o xenbr0 -j DROP

ноль эффекту.

 

[Гість 6636]

Не, для теста реально запретить вообще все
Если опять траф пойдет - то будем думать
Если нет - разрешить 2.2.2.2 перед
сначала Accept, потом DROP типа ALL)

 

[Prince]

Не, для теста реально запретить вообще все
Если опять траф пойдет - то будем думать
Если нет - разрешить 2.2.2.2 перед
сначала Accept, потом DROP типа ALL)

ну я откровенно говоря стремаюсь тупо запрещать все. Так как в свое время жестко напоролся, забыв разрешить INPUT с localhost

Сделано так:
iptables -A OUTPUT -o xenbr0 -s 2.2.2.2 -j ACCEPT
iptables -A OUTPUT -o xenbr0 -j DROP

дефолт полиси, естессно, аксепт.

наблюдаю...

Не, нифига.
течет

 

[Гість 6636]

Если на сервере есть KVM нормальный, то можно все запрещать.
А входящих левых пакетов на интерфейс нет? А то все на output

 

[Prince]

Если на сервере есть KVM нормальный, то можно все запрещать.

Кстати да, совсем забыл, КВМ есть. Запрет, увы, не помог.

А входящих левых пакетов на интерфейс нет? А то все на output

Та вот нету. Пакеты исходящие, они как бы не то чтобы 100% левые. Приходят они с GRE. Но они должны были пройти через НАТ и стать сорц-ИП 3.3.3.x. Если вдруг что-то не так их не должен был выпустить OUTPUT-овский DROP.

У меня разрыв шаблона, я не могу понять КАК они могли просочиться?!?

 

[Гість 6636]

Запрет, увы, не помог.

Вот это уже интересно.
А это точно ваши пакеты?

 

[ASDev]

У меня давеча ситуёвина была. В конторе двойной НАТ. Смотрю, а с роутера который в мир смотрит - половина соседнего здания сидит!!! Я и окуел. Получается что кто-то подключился между моими 2-мя натами и гонит траф, а я ни ухом ни рылом. Разборки с провайдером и беготня по зданию вдоль кабеля привели меня к моему же свичу, из которого я забыл выдернуть старого провайдера, т.к. линк там пропал полгода назад. А теперь он сука поднялся, и через меня все пошли в инет ))

з.ы. А ты пакеты из 172.16.0.0/16 в построутинге дропаешь?



з.з.ы. а в самих пакетах могёт быть сорс нат указан? Наскока я помню, пакеты ВоИП такое делают

 

[Prince]

Вот это уже интересно.
А это точно ваши пакеты?

Наши, наши. прохождение одного пакета в 5 минут, причем явно выхваченные из общего потока. То 1 пакет с флагом FIN, через 5 мин пара пакетов с ACK и т.д.

У меня давеча ситуёвина была. В конторе двойной НАТ. Смотрю, а с роутера который в мир смотрит - половина соседнего здания сидит!!! Я и окуел. Получается что кто-то подключился между моими 2-мя натами и гонит траф, а я ни ухом ни рылом. Разборки с провайдером и беготня по зданию вдоль кабеля привели меня к моему же свичу, из которого я забыл выдернуть старого провайдера, т.к. линк там пропал полгода назад. А теперь он сука поднялся, и через меня все пошли в инет ))

з.ы. А ты пакеты из 172.16.0.0/16 в построутинге дропаешь?



з.з.ы. а в самих пакетах могёт быть сорс нат указан? Наскока я помню, пакеты ВоИП такое делают

Пакеты ходят в хттп.
Дропаю в OUTPUT.



продублировал в mangle, от безысходности. В OUTPUT и в POSTROUTING.
Пофиг. tcpdump показывает утекающий трафик. Хотя счетчики на правилах растут.

Может, tcpdump показывает пакет ДО дропа? Хотя врядли...

 

[ASDev]

А тспдамп на каком интерфейсе смотрит? Наскока я понимаю, структура серый ВПН интерфейс - НАТ - белый интерфейс?

 

[Prince]

не ВПН, ГРЕ там.
Да, структура именно такая, траф течет через туннель к ВПС-у, на нем натится в белый и уходит в мир.

А tcpdump слушает на хозяине, вот какая штука. На xenbr0 в Dom0
Там же тоже все лишнее запрещено, как и описано в стартпосте.
iptables -A OUTPUT -o xenbr0 -s ! 2.2.2.2 -j DROP

только что послушал на eth0 у ВПС-а, зараза, тоже есть утекающий траф

 

[ASDev]

Хм... Чудес, как известно, не бывает... А точно все пакеты в хттп ходят? Другие протоколы/порты запрещены? Чё-то такое впечатление что кто-то через твой туннель кидает свой туннель, только дальше

 

[ChuguevMan]

Ну вот, блин, вроде дядька и умный и "пенсионер", и Линукс знает, а то что в цепочку OUTPUT попадает только исходящий трафик от локальных приложений не знает...

NAT работает и проходит только через PREROUTING, FORWARD, POSTFORWARDING.

 

[alex444]

Приходят они с GRE

iptables -I FORWARD .... , закрыть форвард этих пакетов в интерфейс, смотрящий в DC. Хотя не знаю, как у тебя в таблицу NAT введено....
Поскольку данные пакеты транзитные.... output - это собственный траффик интерфейса, а не транзитный. Как и input.

Может, tcpdump показывает пакет ДО дропа?

тцпдамп показывает пакет, идущий в сторону eth., а вовсе не после postrouting и output.

 

[i___]

Ну вот, блин, вроде дядька и умный и "пенсионер", и Линукс знает, а то что в цепочку OUTPUT попадает только исходящий трафик от локальных приложений не знает...

NAT работает и проходит только через PREROUTING, FORWARD, POSTFORWARDING.

А что с недосистемы и пародии на пакетны фильтр взять? Я всегда говорил, что у этого недоразумения c цепочками и прочим гламурным бредом женская логика. То ли дело ipfw.

 

[Prince]

Ну вот, блин, вроде дядька и умный и "пенсионер", и Линукс знает, а то что в цепочку OUTPUT попадает только исходящий трафик от локальных приложений не знает...

NAT работает и проходит только через PREROUTING, FORWARD, POSTFORWARDING.

WTF?!
форвард дропает все включая полезный траф
iptables -I FORWARD -o eth0 -s 172.16.x.x/24 -j DROP
Все остальное(построутинг, прероутинг) не дает эффекта

iptables -I FORWARD .... , закрыть форвард этих пакетов в интерфейс, смотрящий в DC. Хотя не знаю, как у тебя в таблицу NAT введено....
Поскольку данные пакеты транзитные.... output - это собственный траффик интерфейса, а не транзитный. Как и input.


тцпдамп показывает пакет, идущий в сторону eth., а вовсе не после postrouting и output.

Вот на мастере вообще стоит в форварде дроп всего, что связано со 172.16.0.0/16 пофиг тисипидампятся утекающие пакеты.
В НАТе просто - все что пришло с серого ИП натить в белый.
в форварде нельзя так закрыть. Все что идет с серого ИП на белый - полезный траф.
Мне кажется проблема где-то в ином месте.
Ну не может после НАТа оставаться неНАТченный трафик

А что с недосистемы и пародии на пакетны фильтр взять? Я всегда говорил, что у этого недоразумения c цепочками и прочим гламурным бредом женская логика. То ли дело ipfw.

А клоунидом только по отношению к провайдерам болеют?
ipfw - все свалено в одну кучу. Пьяный бред ужаленного в жопу Герцога, у которого отобрали Вятту.

я не понимаю, КАК ЭТО можно хвалить?!

ЗЫ: У тебя есть уникальная возможность поставить на обсуждаемый серв свою любимую фри.

 

[ChuguevMan]

на нем развернуты несколько ВПС. На ВПСах ЦентОС. И ИП, допустим, 3.3.3.1 - 3.3.3.5
На каждый ВПС лежит GRE туннель. С серыми внутренними ИП. Допустим, 172.16.1.1/30 - 172.16.17/30
На каждом ВПС построен НАТ с серых ИП в белые.
т.е. 172.16.1.2 -> 3.3.3.1, 172.16.1.6 -> 3.3.3.2 и т.д.

А что это за БДСМ? Плеткой в ДЦ били?

Через туннели течет трафик, НАТится на ВПСах и приносит заказчику вожделенный профит. И все было бы замечательно НО:
время от времени через внешние ифейсы ВПСов вылетают пакеты с сорц ИП 172.16.1.2 и т.п.
Вылетают редко, но ДЦ ругается. И грозит плёткой.

Что это за нищебродский буржуйский ДЦ что боится серых адресов?

WTF?!

WTF резать в OUTPUT?

 

[Prince]

А что это за БДСМ? Плеткой в ДЦ били?

Расписывать откуда взялась такая схема - пару страниц описаний. Это разве что за рюмочкой чаю рассказать можно

Что это за нищебродский буржуйский ДЦ что боится серых адресов?

Хетзнер.

WTF резать в OUTPUT?

А матниззя в оутпуте на дропах счетчики растут, и пакетов меньше вроде.
А в форварде и прочих роутингах - на счетчиках НОЛЬ.

Я все равно не понимаю, как траф может просачиваться сквозь НАТ.
почему 99.9% трафа натится а 0.1% нет.

 

[Гість 6636]

Nat тупо не успевает обработать все пакеты?
А вообще как то подизвращенно все выглядит, канешн )))