Как сохранять ip клиента, используя DNAT и SNAT в iptables?

0

1

Добрый день.

У меня есть два хоста и клиент.

Я хочу сделать так, чтобы при подключении на хост1, он (хост1) перенаправлял соединение на хост2. Ответ от хост2 должен отправляться на хост1, а хост1 уже отправлял ответ клиенту.

Схематично это выглядит так:
клиент->хост1->хост2
хост2->хост1->клиент

У меня получилось этого добиться такими правилами на хост1:

iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination хост2:3000
iptables -t nat -A POSTROUTING -p tcp -d хост2 --dport 3000 -j SNAT --to-source хост1

Но есть одна проблема: Когда соединение устанавливается, приложение на хост2 думает, что айпи клиента - это хост1. А я хочу, чтобы айпи клиента сохранялось на хост2. Но при этом, чтобы хост2 отвечал не напрямую клиенту, а через хост1.

Совет поднять прокси сервер вместо использования DNAT мне не подходит, потому что я все это делаю для защиты от DDOS уровня L4-L7. Я хочу все сомнительные соединения напрявлять на хост2, который мне не так важен. Но если использовать прокси сервер, то это не имеет смысла, т.к. пакеты попадут на сокет прокси на хост1. А я как раз хочу избежать попадание пакетов на сокет на хост1.

Буду рад любым ответам. Я понимаю, что я могу вообще сейчас делать фигню, по этому прошу не оскорблять, а указать на ошибку.

Ссылка

←	Проброс трафика

Centos 8 и несколько версий одной библотеки

→

Реальная возможность зависит от конкретной ситуации, а вообще можно вместо SNAT настроить роутинг на хост2 - шлюз хост1 для маршрута на client.

Elyas ★★★★★
(03.07.20 12:18:56 MSK)

Ответ на: комментарий от Elyas 03.07.20 12:18:56 MSK

Что за роутинг? Как это сделать?

lokha
(03.07.20 12:26:02 MSK) автор топика

Ответ на: комментарий от lokha 03.07.20 12:26:02 MSK

Что за роутинг? Как это сделать?

по этому прошу не оскорблять

Придётся молчать! )

vvn_black ★★★★★
(03.07.20 12:26:58 MSK)

Ссылка

Ответ на: комментарий от lokha 03.07.20 12:26:02 MSK

routing - маршрутизация

Elyas ★★★★★
(03.07.20 12:30:44 MSK)

Ответ на: комментарий от lokha 03.07.20 12:26:02 MSK

＞Что за роутинг? Как это сделать?

Вдоль сделай.

anonymous
(03.07.20 12:39:39 MSK)

Ссылка

SNAT адрес источника заменяет в пакете, не? MASQ нужен чтобы клиент видел ip хост1 здесь клиент->хост1

~~why~~ ★
(03.07.20 13:10:17 MSK)
Последнее исправление: why 03.07.20 13:20:12 MSK (всего исправлений: 4)

Ответ на: комментарий от why 03.07.20 13:10:17 MSK

Заменяет да, я пробовал MASQUERADE, тоже самое, хост2 айпи клиента не доходит.

lokha
(03.07.20 13:20:15 MSK) автор топика

Ответ на: комментарий от lokha 03.07.20 13:20:15 MSK

перепутал, хост1->клиент надо, в одну сторону чтобы был MASQUERADE

~~why~~ ★
(03.07.20 13:26:16 MSK)

Ответ на: комментарий от why 03.07.20 13:26:16 MSK

Да, я делал вместо SNAT такое правило на хост1:

iptables -t nat -A POSTROUTING -j MASQUERADE

С ним тоже работало подключение, но проблема оставалась. На хост2 вместо айпи клиента виден айпи хост1.

lokha
(03.07.20 13:30:44 MSK) автор топика

Ответ на: комментарий от lokha 03.07.20 13:30:44 MSK

это в обе стороны, сделай только в одну

~~why~~ ★
(03.07.20 13:31:31 MSK)
Последнее исправление: why 03.07.20 13:32:28 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Elyas 03.07.20 12:30:44 MSK

Можете, пожалуйста, привести пример, как настроить route для моей задачи.

lokha
(03.07.20 13:33:32 MSK) автор топика

Ответ на: комментарий от lokha 03.07.20 13:30:44 MSK

iptables -t nat -A POSTROUTING -s хост2 -j MASQUERADE

iptables -t nat -A POSTROUTING -o адаптерпроводсклиентом -j MASQUERADE

~~why~~ ★
(03.07.20 13:36:58 MSK)
Последнее исправление: why 03.07.20 13:37:35 MSK (всего исправлений: 1)

Ссылка

Что за протокол выше? Если http, то можно реальный адрес в дополнительный хэдэр класть.

skyman ★★★
(03.07.20 13:41:31 MSK)

Ответ на: комментарий от lokha 03.07.20 12:26:02 MSK

клиент:
route add хост2 хост1

хост2:
route add клиент хост1

~~zgen~~ ★★★★★
(03.07.20 13:45:17 MSK)

Ответ на: комментарий от lokha 03.07.20 13:33:32 MSK

на хост2:

ip ro add <клиент> via <хост1>

на хост1 в iptables только правило с dnat

В таком виде это возможно, если хост1 и хост2 в одной сети, ну или чуть сложнее, если промежуточные узлы есть, но под вашим контролем. Если хосты где-то в Инете у разных провайдеров - то гораздо сложнее.

Elyas ★★★★★
(03.07.20 13:55:07 MSK)
Последнее исправление: Elyas 03.07.20 13:59:28 MSK (всего исправлений: 1)

Ответ на: комментарий от skyman 03.07.20 13:41:31 MSK

tcp

lokha
(03.07.20 14:08:13 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 03.07.20 13:45:17 MSK

на клиенте я не могу ничего менять, это в буквальном смысле клиент (домашний пк) и он может быть случайный

lokha
(03.07.20 14:09:46 MSK) автор топика

Ссылка

Ответ на: комментарий от Elyas 03.07.20 13:55:07 MSK

В таком виде это возможно, если хост1 и хост2 в одной сети, ну или чуть сложнее, если промежуточные узлы есть, но под вашим контролем. Если хосты где-то в Инете у разных провайдеров - то гораздо сложнее.

Не в одной сети, один хост ovh, другой hetzner. Ну в общем общей локальной сети нет.

А какой вариант сложнее?

lokha
(03.07.20 14:13:20 MSK) автор топика

Ссылка

Ответ на: комментарий от Elyas 03.07.20 12:18:56 MSK

Лорчую, только не на клиента (одного?) , а вообще с порта 80 роутинг через host1.

Bers666 ★★★★★
(03.07.20 17:14:55 MSK)

Как сохранять ip клиента

используя SNAT

intelfx ★★★★★
(03.07.20 17:20:06 MSK)

Ссылка

Ответ на: комментарий от Bers666 03.07.20 17:14:55 MSK

только не на клиента (одного?)

не одного

lokha
(03.07.20 17:44:12 MSK) автор топика

Ссылка

Ответ на: комментарий от Elyas 03.07.20 13:55:07 MSK

ip ro add <клиент> via <хост1>

я не знаю айпи клиента, я знаю айпи только хост1 и хост2

lokha
(03.07.20 17:47:05 MSK) автор топика

Ссылка

По этой части

Когда соединение устанавливается, приложение на хост2 думает, что айпи клиента - это хост1. А я хочу, чтобы айпи клиента сохранялось на хост2.

Поднять тунель между хост1 и хост2.
На хост1 только DNAT
На хост2 pbr что бы пакеты из тунельного соединения улетали обратно.

А вот теперь полная глупость от вас

Я хочу сделать так, чтобы при подключении на хост1, он (хост1) перенаправлял соединение на хост2.

вы пишите хочу что бы прилетало на хост1

потому что я все это делаю для защиты от DDOS уровня L4-L7. Я хочу все сомнительные соединения напрявлять на хост2, который мне не так важен. Но если использовать прокси сервер, то это не имеет смысла, т.к. пакеты попадут на сокет прокси на хост1. А я как раз хочу избежать попадание пакетов на сокет на хост1.

А тут что бы не прилетало.
Вы уж определитесь, «либо трусы либо крестик».

anc ★★★★★
(03.07.20 21:04:30 MSK)
Последнее исправление: anc 03.07.20 21:04:53 MSK (всего исправлений: 1)

Ссылка

Всё решается маршрутизацией. Если у вас серверы не в одном L2-сегменте, то маршрутизацию в общем виде вы не настроите. Нужно установить VPN или простой IP-туннель (ipip/gre), и внутри него уже маршрутизировать пакеты так, как вам необходимо.

ValdikSS ★★★★★
(03.07.20 23:13:58 MSK)

Ответ на: комментарий от ValdikSS 03.07.20 23:13:58 MSK

Всё решается маршрутизацией. Если у вас серверы не в одном L2-сегменте, то маршрутизацию в общем виде вы не настроите. Нужно установить VPN или простой IP-туннель (ipip/gre), и внутри него уже маршрутизировать пакеты так, как вам необходимо.

Увы, суть моей задачи в том, чтобы не устанавливать соединение вообще. Любой tcp-tunnel это соединение linux, это допуск пакетов на сокет. Это открывает двери к L4 атакам.

Я же хотел сразу пересылать пакеты на другой хост2, чтобы задодусился хост2, а не хост1. А на хост1 будут приниматься только соединения с белых IP и соответственно будут изолированы от плохих пакетов.

Я понимаю, как это звучит. Но исходя из того, что я изучил в linux, мне кажется это рабочей схемой.

lokha
(08.07.20 14:41:24 MSK) автор топика

Ответ на: комментарий от lokha 08.07.20 14:41:24 MSK

По схеме изложенной в топике вам ответили.

Я же хотел сразу пересылать пакеты на другой хост2, чтобы задодусился хост2, а не хост1. А на хост1 будут приниматься только соединения с белых IP и соответственно будут изолированы от плохих пакетов.

Смотрите согласно вашей схемы пакет все равно прилетает на хост1, как не крути, хост1 отправляет его на хост2. Хост2 отвечает отправив пакет на хост1 и хост1 отвечает клиенту. Я не понимаю от какого именно DDOS вы хотите спастись.

anc ★★★★★
(09.07.20 11:09:19 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проброс трафика

Admin

Centos 8 и несколько версий одной библотеки

→

Похожие темы