Gezien ik sinds kort problemen ondervind bij een configuratie aanpassing (vroeger: Speedtouch 530 ADSL modem met EDPNet, nu: Sagem F@stt 3464 met Belgacom internet, of beter bekend als B-box2 maar dan in zwarte platte uitvoering) wil ik dit probleem even uit de doeken doen.
Het gaat over volgende setup:
Fysieke opbouw
Sagem F@stt 3464 --> Linux (Debian Lenny) iptables router met 2 nic's --> LAN
Logische opbouw:
Sagem F@st 3464 (192.168.1.1/24) --> linux router: eth2 (192.168.1.2/24) <iptables NAT en forwarding> eth1 (192.168.24.3/24) --> LAN (192.168.24.0/24)
Daarbij wordt 192.168.1.2 als DMZ adres ingesteld op de Sagem router, zodat alle incoming traffic op de WAN van de Sagem integraal naar de linux firewall door ge-NAT wordt.
Dit om alle (inkomende connecties) firewall configuratie door de linux router uit te laten voeren en niet door de Sagem.
DHCP op Sagem staat uit, Linux firewall voorziet in een DHCP (dhcp-server3) met toepasselijke client opties (nameservers, dns domain suffix, default gateway,..).
Daarnaast staat er een caching Bind9 nameserver op de firewall die ook een forward en revers zone bevat, bedoeld voor een intern DNS domain. Ook worden DHCP leases ook in DNS geregistreerd (Dynamic DNS update).
Misschien paar opmerkingen ivm keuze:
- Geen PPPOE (modem in bridge) omdat ik al gemerkt heb dat dit niet steeds betrouwbaar werkt. Daarom laat ik de VDSL2 modem/router dit afhandelen. DHCP spoof zou een welgekomen optie zijn (bekend van vroegere Speedtouch modems).
- Sagem router niet als router gebruiken omdat deze (voor zover ik weet) geen SNMP ondersteund voor genereren MRTG traffieken + beperkte firewall configuratie.
Geregeld vallen connecties weg of zijn deze niet meer tot stand te brengen voor een korte periode. Een aantal seconden later is dit terug hersteld. Vooral op een iPod touch ondervind ik erg veel hinder om connecties tot stand te brengen naar het internet. Openstaande connecties blijven wel meestal werken. Doet mij aan een tcp/ip probleem denken.
Deze problemen dezen zich niet voor toen de Speedtouch 530 modem werd gebruikt. Het probleem ligt ook niet aan de VDSL2 verbinding.
iptables rules:
Code: Selecteer alles
...
######################
# Basis configuratie #
######################
# Interfaces
WAN="eth2"
LAN="eth1"
# Activeer forwarding in de kernel:
echo 1 > /proc/sys/net/ipv4/ip_forward
# Standaard policy op DROP instellen voor ingaand, doorgaand en uitgaand verkeer
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Alle in- en uitgaand verkeer via loopback interfaces en LAN (eth1) toelaten
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i $LAN -j ACCEPT
iptables -A OUTPUT -o $LAN -j ACCEPT
# Alle uitgaande connecties via WAN (eth2) naar het het internet toelaten
iptables -A OUTPUT -o $WAN -j ACCEPT
# Aanvaard verkeer van het Internet als de connectie zelf geinitaliseerd werd
iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
# Forwarding: alle verkeer toelaten in beide richtingen
iptables -A FORWARD -i $WAN -o $LAN -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
# IP masquarading: NAT
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE
# Port forwarding
....
Code: Selecteer alles
Jun 12 19:47:54 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.24.4:6886->86.133.46.213:56346 on ppp0
Jun 12 19:46:38 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:6886->82.12.117.231:59211 on ppp0
Jun 12 19:42:30 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:2017->99.237.105.233:50098 on ppp0
Jun 12 19:36:40 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:56778->209.85.227.100:80 on ppp0 [repeated 2 times, last time on Jun 12 19:36:40 2009]
Jun 12 19:36:12 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:56746->212.71.22.142:80 on ppp0 [repeated 2 times, last time on Jun 12 19:36:12 2009]
Jun 12 19:35:07 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:6886->74.193.254.133:58054 on ppp0
Jun 12 19:32:28 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:6886->193.126.239.13:62500 on ppp0 [repeated 3 times, last time on Jun 12 19:32:28 2009]
Jun 12 19:32:13 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:6886->193.126.239.13:62323 on ppp0 [repeated 3 times, last time on Jun 12 19:32:13 2009]
Jun 12 19:29:23 2009 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 192.168.1.2:56341->209.85.227.101:80 on ppp0
Het is wel duidelijk dat het probleem zich situeerd bij het 2x NAT verhaal (waar ik geen voorstander van ben, maar in deze situatie weinig alternatieven zie).
Uit de Sagem logs lijk ik af te kunnen leiden dat connecties die als openstaande beschouwd worden vanaf LAN via de linux firewall bij de Sagem vaak als nieuwe connecties worden beschouwd en bij gevolg gedropped worden omdat het SYN pakket (tot stand brengen connectie) daarbij ontbreekt.
De grote vraag is hoe dat opgelost kan worden. Kan ik iptables regels aanpassen/toevoegen zodat steeds nieuwe connecties tot stand gebracht worden naar de Sagem router of kan er iets in de Sagem aangepast worden? Het lijkt me in elk geval iets vrij technisch te zijn waarbij de Sagem iets teveel "smart firewalled"...
Modedit : Tag verwijderd , in tittel , enkel tag's in te koop/gezocht subforum gebruiken aub
