Discussion :

[breizho]

Bonjour,

Je cherche à filtrer une IP source à destination d'une VIP1 (192.168.60.95) pour la rediriger sur une VIP2 (192.168.60.96) en entrée du même serveur.
Pour cela , j'utilise la fonction POSTROUTING d'iptable avec du DNAT.
J'ai également positionné une rêgle FORWARD.

Je ne parviens pas à réaliser cette fonction, tcpdump voit les packets arriver mais ils ne sortent pas d'iptables pour re-rentrer sur la même machine.

Par contre, si je configure en VIP2 une VIP externe à la machine (non locale à la machine), ça fonctionne très bien, tcpdump snif le traffic jusqu'à la destination.

L'ip forwarding est pourtant bien activé.
Les log syslog me donnent:
device eth0 entered promiscuous mode
ip_rt_bug: 192.168.100.41 -> 192.168.60.96

Voici le script:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 
iptables -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#
# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
#
# Activation du NAT (logiquement deja active par lvs)
#
echo "  + Activation du NAT"
echo 1 > /proc/sys/net/ipv4/ip_forward
#
# Routage et DNAT en entree
#
iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -s 192.168.100.41/32 -p tcp -d 192.168.60.95/32 -j DNAT --to-destination 192.168.60.96
 
iptables -A FORWARD -p tcp -s 192.168.100.41/32 -d 192.168.60.96/32 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
 
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT
iptables -A OUTPUT -j ACCEPT

auriez-vous une idée svp ?

Merci d'avance,

Eric

[becket]

J'ai un peu de mal à comprendre le pourquoi de ce genre de fantaisies mais pourquoi pas.

Tu as essayé de faire des test sans placer les politiques par défaut sur DROP ? Parce qu'il me semble que tu n'autorises pas ce trafic en INPUT

[breizho]

Bonjour,

un lvs est installé sur la machine et nous souhaitons faire un loadbalancing différent en fonction de la source , voila le pourquoi de cette fantaisie :-)

Sinon, je pense avoir tout autorisé en INPUT non (iptables -A INPUT -j ACCEPT)? Mais je vais tester ce que tu me dis...

[lennelei]

Quand tu dis que ça marche avec une VIP externe, tu veux dire qu'en modifiant 192.168.60.96 par autre chose dans ton script ci-dessus, ça marche (donc seulement les 2 lignes sont modifiées) ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
iptables -t nat -A PREROUTING -s 192.168.100.41/32 -p tcp -d 192.168.60.95/32 -j DNAT --to-destination 192.168.60.96

iptables -A FORWARD -p tcp -s 192.168.100.41/32 -d 192.168.60.96/32 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

[breizho]

Oui tout à fait.
En remplaçant 192.168.60.96 (ip local à la machine) par l'IP d'un autre équipement du même réseau ou pas, ça fonctionne.

[breizho]

Alors ça ne fonctionne toujours pas et pourtant j'ai simplifier le script.
J'ai toujours le message d'erreur suivant dans /vr/log/message
Apr 20 10:10:21 lvs01 kernel: [61845.994476] device eth0 entered promiscuous mode
Apr 20 10:10:26 lvs01 kernel: [61850.987717] device eth0 left promiscuous mode

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
iptables -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
 
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
 
iptables -t nat -X
iptables -t nat -F
iptables -t nat -P PREROUTING ACCEPT
 
echo "  + Activation du NAT"
echo 1 > /proc/sys/net/ipv4/ip_forward
 
iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -s 192.168.100.41/32 -d 192.168.60.95 -j DNAT --to-destination 192.168.60.96
 
iptables -A FORWARD -p tcp -s 192.168.100.41/32 -d 192.168.60.96/32 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

Une idée ?