TPROXY interferează cu regulile de redirecționare a portului DNAT

GreenVine

25.11.2022, 03:51

Configurez TPROXY pe routerul meu VyOS pentru a redirecționa un anumit trafic către un proxy transparent local. Funcționează destul de bine, până când am descoperit că toate regulile mele de redirecționare a portului DNAT nu mai funcționează (timeout de conectare când mă conectez de la o rețea externă).

Mediu inconjurator

Router: 10.0.0.1/24 (Proxy rulează 1234 port și adăugând SO_MARK cu 0xff)
Gazdă internă: 10.0.0.2/24 (Port 80 ar trebui să fie expusă publicului)

Regulile TPROXY

regulă ip adăugați fwmark 1 tabelul 100
ip route add local 0.0.0.0/0 dev lo tabelul 100

nft adăugați tabelul myproxy
nft add chain myproxy prerouting { tip filter hook prerouting prioritate 0 \; }
nft add rule myproxy prerouting ip daddr { 127.0.0.1/32, 224.0.0.0/4, 255.255.255.255/32 } return
nft add rule myproxy prerouting meta l4proto tcp ip daddr 10.0.0.0/24 return
nft adăugare regulă myproxy prerouting mark 0xff return
nft add rule myproxy prerouting meta l4proto { tcp, udp } mark set 1 tproxy to 127.0.0.1:1234 accept

nft add chain myproxy output { tip route hook output priority 0 \; }
nft add rule myproxy output ip daddr { 127.0.0.1/32, 224.0.0.0/4, 255.255.255.255/32 } return
nft add rule myproxy output meta l4proto tcp ip daddr 10.0.0.0/24 return
nft adăugare regulă myproxy output mark 0xff return
nft add rule myproxy output meta l4proto { tcp, udp } marca set 1 accept

nft adăugați filtru de masă
nft add chain filter divert { type filter hook prerouting priority -150 \; }
nft adaugă regulă filtru deviere meta l4proto tcp socket transparent 1 meta marca set 1 accept

Regulile DNAT

$ nft list table nat

table ip nat {
    lanț PREROUTING {
        tip nat hook prerouting priority dstnat; acceptarea politicii;
        iifname "pppoe0" tcp dport { 8080 } contor pachete 7 octeți 400 dnat la 10.0.0.2:80
    }
}

Simptome

Conectare RouterPublicIP:8080 expiră. În mod ideal, ar trebui să redirecționeze traficul către 10.0.0.2:80.

Bănuiesc că traficul DNAT de intrare este redirecționat eronat către proxy (în loc de gazda reală 10.0.0.2), totuși nu mi-am putut da seama de regulile nft corecte.

Mulțumesc anticipat!

220

0 + 1

iptables

transparent-proxy

dnat

nftables

vyos

Tom Yan

25.11.2022, 11:50

Ați încercat să adăugați suplimentar `meta l4proto tcp ip saddr 10.0.0.0/24 return` la `myproxy prerouting` (înainte de regula `tproxy`, desigur).

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: TPROXY interferes DNAT port forwarding rules

TH: TPROXY รบกวนกฎการส่งต่อพอร์ต DNAT

RO: TPROXY interferează cu regulile de redirecționare a portului DNAT

RU: TPROXY мешает правилам переадресации портов DNAT

VI: TPROXY can thiệp quy tắc chuyển tiếp cổng DNAT

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.