Хочу странного от NAT в iptables

0

2

Понадобилось тут отладить и протестировать работу некоего сетевого приложения в режиме точка-точка, когда оба инстанса за натом. Работает прокол ната через STUN. Сделал такую схему:

Node1 (10.10.0.10) <---
                      |
                      v
                    (10.10.0.1) GW (SNAT) (172.16.80.1) <---> (172.16.80.2) STUN Server                      
                      ^
                      | 
Node2 (10.10.0.11) <---

На нодах запущены инстансы приложения, которым надо пообщаться друг с другом. Они в одной подсети, потому что это не просто компы, а специфические девайсы, нужные куче людей и я не могу просто так менять их сетевые настройки. Вот тут и начинается странное, которого я хочу. На шлюзе настроен MASQUERADING из подсети 10.10.0.0/24.

Если я просто запускаю stun-client из подсети 10.10.0.10, то все работает отлично, STUN-сервер получает пакет, и его ответный пакет доходит до клиента, клиент показывает правильные «внешние» адрес и порт. Но если я пытаюсь эксплуатировать «проколотый» NAT и отправляю пакеты с другого клиента на 172.16.80.1 с полученым портом, то этот пакет обрабатывается как предназначенный самому шлюзу и в трансляцию адресов не попадает. Как я понимаю, проблема в том, что пакет приходит из «внутренней» сети и сразу попадает в цепочку INPUT.

Странное, что я хочу: зафорсить трансляцию адресов, даже если пакет приходит из «внутренней» сети. Айпишники нод фиксировать не хочется, они могут быть разные, т.е. варианты «напиши правило, чтобы пакеты с Node1 редиректились на Node2 и наоборот» не канают, хочется чтобы работал именно «прокол» NAT.

Как такое можно сделать? Я просто не знаю, в какой момент происходит смена адреса ответного пакета, это делается как будто не в одной из цепочек iptables, а где-то еще.

Ссылка

←	роутер cisco rv340w перестала работать админка

Не срабатывает systemd сервис nftables, если конфиг по симлинку

→

Как такое можно сделать?

Чтобы пропанчить дырку надо показать stun серверу 2 IP Ergo, 2xLAN + 2xInternal interfaces + 2xNAT services + 2xExternal interfaces

Виртуальные или реальные, зависит от возможностей GW

kindof ★
(19.09.22 12:07:14 MSK)

Ответ на: комментарий от kindof 19.09.22 12:07:14 MSK

Но казалось бы, почему это так уж необходимо?

roof ★★
(19.09.22 12:24:56 MSK) автор топика

Ответ на: комментарий от roof 19.09.22 12:24:56 MSK

Но казалось бы, почему это так уж необходимо?

потому что нельзя пробить то чего нет

kindof ★
(19.09.22 12:27:05 MSK)

Ответ на: комментарий от kindof 19.09.22 12:27:05 MSK

Node 1 кидает пакет стан-серверу, он проходит через нат, стан-сервер отвечает, соединение на нат становится established, дальше казалось бы кто угодно (в том числе и Node 2) может кидать пакеты на открытый порт на NAT и шлюз их может пересылать Node 1. Что в этой схеме требует именно двух раздельных сетей?

roof ★★
(19.09.22 12:28:20 MSK) автор топика

Ответ на: комментарий от kindof 19.09.22 12:27:05 MSK

Я, наверное, сделаю две сети, это несложно, но дыра в понимании, как оно работает, раздражает. Если не трудно, объясните пожалуйста.

roof ★★
(19.09.22 12:29:28 MSK) автор топика

Ответ на: комментарий от roof 19.09.22 12:28:20 MSK

Что в этой схеме требует именно двух раздельных сетей?

ARP

kindof ★
(19.09.22 12:29:46 MSK)

Ссылка

Ответ на: комментарий от roof 19.09.22 12:29:28 MSK

Я, наверное, сделаю две сети, это несложно, но дыра в понимании, как оно работает, раздражает. Если не трудно, объясните пожалуйста.

https://www.google.com/search?q=%D0%BA%D0%B0%D0%BA+%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%B5%D1%82+STUN&source=hp&ei=EDcoY8_GFdODqgH-9bP4DA&iflsig=AJiK0e8AAAAAYyhFIB6ZZ6BfaVLqEV3tOC3PhkkY9t6C&ved=0ahUKEwjPjtWRxqD6AhXTgSoKHf76DM8Q4dUDCAY&uact=5&oq=%D0%BA%D0%B0%D0%BA+%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%B5%D1%82+STUN&gs_lcp=Cgdnd3Mtd2l6EAMyBQgAEIAEMgUIABCABDIGCAAQHhAWUABYAGCNAmgAcAB4AIABQ4gBQ5IBATGYAQCgAQKgAQE&sclient=gws-wiz

kindof ★
(19.09.22 12:32:43 MSK)

Я просто не знаю, в какой момент происходит смена адреса ответного пакета, это делается как будто не в одной из цепочек iptables, а где-то еще.

https://www.frozentux.net/iptables-tutorial/images/tables_traverse.jpg
Точнее вот
https://images1.russianblogs.com/60/fc/fc6cb0a63cbb2b76a7e719db243ac3cc.png

anc ★★★★★
(19.09.22 13:54:55 MSK)
Последнее исправление: anc 19.09.22 13:58:05 MSK (всего исправлений: 1)

Если отправить пакет 10.10.0.11:хх->172.16.80.1:yy, то nat скорее всего выполнится (если rp_filter не помешает) и на нода1 придет пакет 10.10.0.11:хх->10.10.0.10:zz. Но вот ответный пакет будет 10.10.0.10:zz->10.10.0.11:хх который нода1 совсем не ожидает.

Нужно учесть, что ответные пакеты не попадают в nat-правила prerouting.

Для начала отключи rp_filter - он крайне вреден в данной ситуации.

А каким способом ты разделил 2 машины имеющие адреса из одной и той же сети?

Нет ли возможности на нодах сделать дополнительные адреса из разных сетей? Это сильно упрости ситуацию, т.к. линух умеет делать snat+dnat для одного соединения.

vel ★★★★★
(19.09.22 23:26:41 MSK)