Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[SOLVED] Hilfe: Interne IPs auf einem SNAT (WAN)-Device?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
eASy_
n00b
n00b


Joined: 16 Aug 2004
Posts: 53

PostPosted: Wed Oct 26, 2016 12:32 pm    Post subject: [SOLVED] Hilfe: Interne IPs auf einem SNAT (WAN)-Device? Reply with quote

Hallo,

ich habe ein Problem, und zwar ist mein Server als Router konfiguriert mit 2 NICs einmal fürs LAN und einmal mit öffentlicher IP-Adresse fürs WAN.

Also enp2s0 ist das LAN-Device und enp3s0 das WAN-Device. Das ganze wird per Source-Nat 'genatted', also mein nat Tabelle bei iptables hat folgenden Eintrag:

Chain POSTROUTING (policy ACCEPT 1178 packets, 74873 bytes)
pkts bytes target prot opt in out source destination
9809 834026 SNAT all -- * enp3s0 0.0.0.0/0 0.0.0.0/0 to:x.x.x.x

Und ja, ip_forwarding ist soweit auch aktiviert, grundsätzlich funktioniert das SNAT auch ohne Probleme. Nur habe ich heut mit meinem Internet-Provider gesprochen, da ich Einbussen in der Bandbreite habe und der hat mir gesteckt, dass auf dem WAN-Device (enp3s0) teilweise Interne IPs sind. Also kurz tcpdump angeschmissen:

intranet ~ # tcpdump -n -i enp3s0 net 192.168.1.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp3s0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:39:28.836239 IP 192.168.1.208.42220 > 76.13.x.x.80: Flags [F.], seq 1027507625, ack 3915359264, win 1445, options [nop,nop,TS val 7113991 ecr 3754955176], length 0
13:39:30.185896 IP 192.168.1.208.42220 > 76.13.x.x.80: Flags [F.], seq 0, ack 1, win 1445, options [nop,nop,TS val 7114085 ecr 3754955176], length 0
13:41:01.958976 IP 192.168.1.208.42220 > 76.13.x.x.80: Flags [F.], seq 0, ack 1, win 1445, options [nop,nop,TS val 7114296 ecr 3754955176], length 0
13:42:09.352012 IP 192.168.1.208.42220 > 76.13.x.x.80: Flags [F.], seq 0, ack 1, win 1445, options [nop,nop,TS val 7114719 ecr 3754955176], length 0
13:45:47.984977 IP 192.168.1.208.42220 > 76.13.x.x.80: Flags [F.], seq 0, ack 1, win 1445, options [nop,nop,TS val 7115564 ecr 3754955176], length 0

Und was soll ich sagen, der hat recht. Ich war doch recht überrascht, da eigentlich SNAT doch alles abdecken sollte.

Weiss jemand, woher dieses Problem kommt? Ich sehe das heute zum ersten mal und googlen hat auch nicht wirklich geholfen.
Die Häufigkeit ist grob gesagt alle 15 Minuten kommen da so 30-40 Pakete durch. Mal mehr mal weniger. Das syslog sag nichts bzgl irgendwelcher Fehler. Auch ifconfig gibt keine Fehler auf den beiden Devices:

enp2s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.18 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::225:90ff:fe74:d690 prefixlen 64 scopeid 0x20<link>
ether 00:25:90:74:d6:90 txqueuelen 1000 (Ethernet)
RX packets 6597630103 bytes 6997416388837 (6.3 TiB)
RX errors 0 dropped 5671311 overruns 0 frame 0
TX packets 18429350699 bytes 26160449760803 (23.7 TiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 17 memory 0xfe9e0000-fea00000

enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet x.x.x.x netmask 255.255.255.0 broadcast 46.245.223.255
inet6 fe80::225:90ff:fe74:d691 prefixlen 64 scopeid 0x20<link>
ether 00:25:90:74:d6:91 txqueuelen 1000 (Ethernet)
RX packets 981752726 bytes 1200146034504 (1.0 TiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 450161244 bytes 97043936205 (90.3 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 18 memory 0xfeae0000-feb00000

Ich bin gerade echt überfragt, wo das herkommt. Oder weiss vielleicht jemand, wie ich den Fehler eingrenzen könnte? Das Problem ist, dass nun der Switch beim Internet-Provider natürlich Warnungen bzgl Illegaler Pakete (weil interne IP) rausspuckt und unseren Port drosselt, was nicht so schön ist, wenn man nur noch 5% der Bandbreite zur Verfügung hat.

Gruß,
easy.


Last edited by eASy_ on Wed Nov 02, 2016 6:24 am; edited 1 time in total
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2225
Location: Germany

PostPosted: Tue Nov 01, 2016 1:59 pm    Post subject: Reply with quote

Du solltest nachforschen und überprüfen:
Kommen diese Pakete von deinem Server?
Kommen diese Pakete aus deinen Source-Netzwerk/Lan?
Welcher Maschine/Prozess erzeugt diese Pakete?

Eigentlich würde ich, wenn mir so etwas auf fällt, es nicht den Spezifikationen entspricht aus Sicht des Router/Servers, einfach verwerfen.

Generell bin ich eh so eingestellt das ich allen Geräten nicht vertraue und immer irgendein infiziertes Gast-OS im WLAN in Betracht ziehe oder jemand einfach irgendwo Netzwerkkabel anschließen könnte die er nicht anschließen darf, für möglich hält.

Kurz: Ich wäre da hart und würde die Pakete radikal verwerfen.
Back to top
View user's profile Send private message
eASy_
n00b
n00b


Joined: 16 Aug 2004
Posts: 53

PostPosted: Wed Nov 02, 2016 6:24 am    Post subject: Reply with quote

Oh Sorry, ich konnte das Problem beheben.. Es ist mehr oder weniger ein bekannter "Bug", siehe dazu:

http://www.smythies.com/~doug/network/iptables_notes/

Die Forward-Drop-Regel auf die Invalid-Packages eingefügt und seit dem keine Pakete mehr auf dem WAN-Device mit LAN-IPs.
Sowas muss man aber auch wissen, das ist mir in dieser Form so das erste mal untergekommen und ich hab schon jahrelang Linux-NAT-Boxen am laufen...


Gruß,
easy.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum