Trotz iptables/ DNAT Einträge in INPUT Kette

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
BlueAnt
Beiträge: 43
Registriert: 28.08.2003 01:18:06
Wohnort: München Outback

Trotz iptables/ DNAT Einträge in INPUT Kette

Beitrag von BlueAnt » 16.03.2014 18:55:02

Hallo,

ich betreibe einen Router, auf dem Iptables mit Filterregeln läuft. Dieser Router "verschiebt" HTTP und SMTP Anfragen zu einem Server im Intranet. Konkret für HTTP:

Code: Alles auswählen

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth2 -j DNAT --to 192.168.XXX.XXX
Alle Anfragen aus dem Internet kommen über eth2 hinein und landen via DNAT in der FORWARD-Kette. Trotzdem finde ich im Router Syslog Einträge wie:

Code: Alles auswählen

INPUT IN=eth2 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=5.10.83.98 DST=192.168.yyy.yyy LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=TCP SPT=39568 DPT=80 WINDOW=0 RES=0x00 RST URGP=0
Frage:
Wie können solche Einträge in der Input-Kette auftauchen, obwohl im Prerouting die HTTP-Anfragen via DNAT "umgebogen" werden?

Im realen Betrieb gibt es keine Probleme. Bei allen meinen Tests aus dem Internet läuft die Kombination Router/ Webserver einwandfrei. Nur diese seltsamen Einträge, die es nicht geben sollte, irritieren mich.

Grüße,
BlueAnt.
Nach oben
rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Trotz iptables/ DNAT Einträge in INPUT Kette

Beitrag von rendegast » 16.03.2014 22:22:27

Code: Alles auswählen

iptables -L -nv -t nat
?

Stammen die Einträge vielleicht vom Moment des Hochfahrens der Regeln?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Nach oben
Benutzeravatar
BlueAnt
Beiträge: 43
Registriert: 28.08.2003 01:18:06
Wohnort: München Outback

Re: Trotz iptables/ DNAT Einträge in INPUT Kette

Beitrag von BlueAnt » 16.03.2014 23:32:52

Hallo,
rendegast hat geschrieben:

Code: Alles auswählen

iptables -L -nv -t nat
?
Voila:

Code: Alles auswählen

# iptables -L -nv -t nat
Chain PREROUTING (policy ACCEPT 145K packets, 14M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 143K 7512K DNAT       tcp  --  eth2   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:192.168.xxx.xxx
 1772 91880 DNAT       tcp  --  eth2   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 to:192.168.yyy.yyy

Chain INPUT (policy ACCEPT 673 packets, 215K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 731 packets, 43272 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 132K packets, 7182K bytes)
 pkts bytes target     prot opt in     out     source               destination         
58968 3751K SNAT       all  --  *      eth2    0.0.0.0/0            0.0.0.0/0            to:192.168.zzz.zzz
Stammen die Einträge vielleicht vom Moment des Hochfahrens der Regeln?
Die Meldung tauchen regelmäßig auf, also auch Tage später. Ausgabe ist mit -m limit --limit 5/hour beschränkt.

Grüße,
BlueAnt.
Nach oben
rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Trotz iptables/ DNAT Einträge in INPUT Kette

Beitrag von rendegast » 17.03.2014 07:49:57

Die Meldung tauchen regelmäßig auf, also auch Tage später.
Eventuell Meldungen im dmesg bzgl. eth / Netzwerkkartentreiber?

Anderen Kernel zBsp. backports? (-> anderes netfilter)
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Nach oben
Benutzeravatar
BlueAnt
Beiträge: 43
Registriert: 28.08.2003 01:18:06
Wohnort: München Outback

Re: Trotz iptables/ DNAT Einträge in INPUT Kette

Beitrag von BlueAnt » 17.03.2014 10:54:21

rendegast hat geschrieben:
Eventuell Meldungen im dmesg bzgl. eth / Netzwerkkartentreiber?

Code: Alles auswählen

# grep eth dmesg
[    3.243374] via-rhine 0000:00:0c.0: eth0: VIA Rhine III at 0x1e000, 00:10:f3:13:72:10, IRQ 10
[    3.244131] via-rhine 0000:00:0c.0: eth0: MII PHY found at address 1, status 0x786d advertising 05e1 Link c1e1
[    3.394654] via-rhine 0000:00:0d.0: eth1: VIA Rhine III at 0x1e400, 00:10:f3:13:72:11, IRQ 10
[    3.395396] via-rhine 0000:00:0d.0: eth1: MII PHY found at address 1, status 0x786d advertising 05e1 Link 4de1
[    6.551970] udevd[329]: renamed network interface eth1 to eth2
[    6.562205] udevd[328]: renamed network interface eth0 to eth1
[   13.507969] via-rhine 0000:00:0d.0: eth2: link up, 100Mbps, full-duplex, lpa 0x4DE1
[   13.526164] via-rhine 0000:00:0c.0: eth1: link up, 100Mbps, full-duplex, lpa 0xC1E1
Anderen Kernel zBsp. backports? (-> anderes netfilter)
Standart Wheezy-Kernel mit zusätzlichen Paketen "xtables-addons-dkms" und "ipset"

Code: Alles auswählen

nexcom:/var/log#  dpkg -l "linux-image*" | grep ^ii
ii  linux-image-2.6-486                3.2+46                        i386         Linux for older PCs (dummy package)
ii  linux-image-2.6.18-4-486           2.6.18.dfsg.1-12etch2         i386         Linux 2.6.18 image on x86
ii  linux-image-2.6.18-6-486           2.6.18.dfsg.1-26etch2         i386         Linux 2.6.18 image on x86
ii  linux-image-2.6.26-2-486           2.6.26-26lenny3               i386         Linux 2.6.26 image on x86
ii  linux-image-2.6.32-5-486           2.6.32-48squeeze4             i386         Linux 2.6.32 for old PCs
ii  linux-image-3.2.0-4-486            3.2.54-2                      i386         Linux 3.2 for older PCs
ii  linux-image-486                    3.2+46                        i386         Linux for older PCs (meta-package)
Nach oben
Antworten

Zurück zu „Netzwerk“