OpenVPN port forwarding iptables

Gemeinsam ins Internet mit Firewall und Proxy.
DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 18:06:55

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:00:38
Wenn der Portscan nicht ankommt, dann kann man doch auch nicht sagen, dass ein bestimmter Portscan (hier auf tcp 27015) auf einem anderen Port (der markierte) ankommt. Wie hast Du festgestellt, dass der Markierte für den destination-Port 27015 bestimmt war? Wenn doch, was sollte/könnte die Datenpakete auf den anderen (markierten) Port umgeleitet haben?
Doch doch, dass der Portscan ankommt hab ich schon vor ein paar Beiträgen geschrieben
Port 27015 wird eben bis zu 10.8.0.2 auf meinem Server weitergereicht, aber auf meinem Client landet er random zwischen 50000-60000

Ich hab eben nur den einen Port gescannt und weiß das die IP der Portscan ist

Gibt keine Anhaltspunkte warum das so ist, mit Konfigurationen meinerseits hats jedenfalls nix zu tun, es landen ja wie gesagt und wie du auch sehen kannst fast alle Pakete lokal in dieser Range.

mat6937
Beiträge: 3378
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 18:12:13

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:06:55
Port 27015 wird eben bis zu 10.8.0.2 auf meinem Server weitergereicht, ...
In deinem 1. Beitrag hast Du geschrieben, dass der Client die IP-Adresse 10.8.0.2 hat. Jetzt schreibst Du, dass der Server diese IP-Adresse hat?
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 18:16:10

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:12:13
In deinem 1. Beitrag hast Du geschrieben, dass der Client die IP-Adresse 10.8.0.2 hat. Jetzt schreibst Du, dass der Server diese IP-Adresse hat?
Das Paket wird ja auf meinem Server durch iptables von ens3/public ip nach 10.8.0.2 übergeben, stimmt schon alles so, war vielleicht ein komischer satzbau
Client-IP ist 10.8.0.2, hat sich nichts geändert

mat6937
Beiträge: 3378
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 18:26:25

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:16:10

Das Paket wird ja auf meinem Server durch iptables von ens3/public ip nach 10.8.0.2 übergeben, stimmt schon alles so,
Wenn Du eine DNAT-Regel dafür benutzt, hast Du dort auch den dst.-Port angegeben? Z. B. so:

Code: Alles auswählen

... -j DNAT --to-destination 10.8.0.2:27015
?
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 18:29:12

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:26:25
Wenn Du eine DNAT-Regel dafür benutzt, hast Du dort auch den dst.-Port angegeben?
Hab ich genau so gemacht

Code: Alles auswählen

iptables -t nat -A PREROUTING -i ens3 -p udp --dport 27015 -j DNAT --to-destination 10.8.0.2:27015
Wird auch weitergegeben (Portscan / Capture an tun0)

Code: Alles auswählen

18:30:23.730644 IP (tos 0x0, ttl 51, id 24877, offset 0, flags [DF], proto TCP (6), length 48)
    ec-s2.easterncraft.net.45226 > 10.8.0.2.27015: Flags [S], cksum 0xd2b0 (correct), seq 1042516778, win 29200, options [mss 1460,nop,nop,sackOK], length 0

mat6937
Beiträge: 3378
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 18:34:34

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:29:12
Hab ich genau so gemacht

Code: Alles auswählen

iptables -t nat -A PREROUTING -i ens3 -p udp --dport 27015 -j DNAT --to-destination 10.8.0.2:27015
Wird auch weitergegeben (Portscan)

Code: Alles auswählen

18:30:23.730644 IP (tos 0x0, ttl 51, id 24877, offset 0, flags [DF], proto TCP (6), length 48)
    ec-s2.easterncraft.net.45226 > 10.8.0.2.27015: Flags [S], cksum 0xd2b0 (correct), seq 1042516778, win 29200, options [mss 1460,nop,nop,sackOK], length 0
Nein, denn die Regel sagt, dass es um UDP geht und dein Ergebnis (aus dem Portscan) zeigt ein TCP-Datenpaket mit dem syn-Flag.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 18:56:31

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:34:34
Nein, denn die Regel sagt, dass es um UDP geht und dein Ergebnis (aus dem Portscan) zeigt ein TCP-Datenpaket mit dem syn-Flag.
Habe genau die gleiche Regel nochmal für TCP, hab ich grad nicht drauf geachtet beim Kopieren
Das Paket wird auf jeden Fall an den richtigen Port vom Client weitergereicht

Aber irgendwas stimmt nicht, ich schreib dann nochmal

mat6937
Beiträge: 3378
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 19:42:22

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:56:31
..., ich schreib dann nochmal
Ja, denn ich verstehe dein Problem nicht.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

Antworten