HTTPS sitelerine iptables MASQUERADING üzerinden aralıklı erişim

1

Sorun: ağdaki her şey yolunda, arada bir arada, ağdaki tüm ana bilgisayarlar için tüm https zaman aşımına uğradı. Birkaç dakika sonra birkaç saatliğine neredeyse anında olmaya başlar.

Ayrıntılar:

Ubuntu Sunucusu 12.04'ü 2 NICS ile çalıştırıyorum:

  • NIC 1, WAN, kablolu modemden dhcp'dir.
  • NIC 2, LAN, 192.168.0.1 yönlendiricinin WAN portuna bağlı 192.168.0.2
  • Ben işler elde edene kadar tüm iptables zincirleri politikaları kabul
  • 192.168.0.0/16’dan gelen tüm trafik WAN limanına kadar maskelenmiştir.
  • 192.168.0.0/16 tarihinden itibaren yapılan tüm iletmeler kabul edildi
  • 192.168.0.0/16 adresine yapılan tüm iletiler kurulursa veya ilgili ise kabul edilir.
  • 10.0.0.0/16 için yukarıdaki aynı üç kural, çünkü diğer yapılandırmaları test ediyorum

Yönlendirici: Asus rt-n56u

  • LAN üzerindeki her şey 10.0.0.0/24 (2.4ghz, 5ghz ve LAN portları) içerisinde DHCP'dir.
  • 10.0.0.1 Ağ Geçidinden NAT, WAN portu üzerinden 192.168.0.1'e
  • Statik yönlendirme yapılandırılmadı)
  • Yerleşik güvenlik duvarı şimdilik devre dışı

Aşağıda / etc / network / interfaces, iptables settings ve ifconfig'i bulacaksınız. Başka bir bilginin yardımcı olup olmadığını lütfen bana bildirin.

###############################################################
/etc/network/interfaces:

#connects to the cable modem
auto WAN
iface WAN inet dhcp

#connects to the LAN router
auto LAN
iface LAN inet static
address 192.168.0.1
network 192.168.0.0
netmask 255.255.255.0
broadcast 192.168.0.255

#loopback interface
auto lo
iface lo inet loopback


###############################################################
iptables rules:

#I've set all the chains to accept. Once I get everything working, I'll implement a whitelist.

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#turn on NAT for /16 subnet by mangling with the MASQUERADE module
iptables --table nat -A POSTROUTING -s 192.168.0.0/16 -o WAN -j MASQUERADE
iptables --table nat -A POSTROUTING -s 10.0.0.0/16 -o WAN -j MASQUERADE

#allow all traffic from the /16 subnet to WAN
iptables -A FORWARD -s 192.168.0.0/16 -o WAN -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/16 -i LAN -o WAN -j ACCEPT

#allow traffic from the WAN to the /16 subnet if a connection was established b$
iptables -A FORWARD -d 192.168.0.0/16 -m state --state ESTABLISHED,RELATED -i WAN -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/16 -m state --state ESTABLISHED,RELATED -i WAN -j ACCEPT

#drop packets that attempt to spoof source LAN IPs
iptables -A INPUT -i WAN -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i WAN -s 10.0.0.0/8 -j DROP

###############################################################
ifconfig:

LAN   Link encap:Ethernet  HWaddr 00:22:4d:a1:5d:42
inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
inet6 addr: fe80::222:4dff:fea1:5d42/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:53737 errors:0 dropped:0 overruns:0 frame:0
TX packets:136493 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8626679 (8.6 MB)  TX bytes:178113059 (178.1 MB)
Interrupt:17 Memory:d0020000-d0040000

WAN   Link encap:Ethernet  HWaddr 00:22:4d:a1:5d:3e
inet addr:XXX.XXX.XXX.XXX  Bcast:255.255.255.255  Mask:255.255.255.224
(external IP sensored)
UP BROADCAST RUNNING MULTICAST  MTU:576  Metric:1
RX packets:142317 errors:0 dropped:0 overruns:0 frame:0
TX packets:54748 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:178555294 (178.5 MB)  TX bytes:8369828 (8.3 MB)
Interrupt:16 Memory:d0120000-d0140000

lo   Link encap:Local Loopback
inet addr:127.0.0.1  Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING  MTU:16436  Metric:1
RX packets:18 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1474 (1.4 KB)  TX bytes:1474 (1.4 KB)

Herhangi bir öneriniz çok takdir edilecektir. Şimdiden teşekkür ederim.

ubuntu  iptables  https  timeout  masquerade 
Jon
kaynak
Eğer menşeli https bağlantıları için aynı sorunlar yok üzerinde sizin ağ geçidi sunucusu? Veya sadece Asus yönlendiricinin arkasındaki sistemler için mi? Ayrıca, çift maskeli olmanızın belirli bir nedeni var mı (yönlendiricinin arkasındaki sistemler 10.0.0.0/24 - 192.168.0.0/24 arasında eşleşiyor, bu da harici IP adresinize eşler)?
larsks

Yanıtlar:

1

Sorun çözüldü.

WAN üzerindeki DHCP, MTU’yu 576’ya ayarlıyordu (ifconfig’te görüldüğü gibi).

Çözüm:

-Simply / mtc / dhcp3/dhclient.conf içindeki istek listesinden basitçe-arayüz kaldırıldı

-/ Etc / network / interfaces içindeki "iface WAN inet dhcp" altına "mtu 1500" eklendi

Yeniden Başlatma.

Artık her şey en tepede.

Jon
kaynak
Sen bir dahisin.
Iman Akbari
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.