IPTABLES - Liberar Internet em Rede Local Utilizando Gateway Através de Hypervisor

1. IPTABLES - Liberar Internet em Rede Local Utilizando Gateway Através de Hypervisor

José
zehErico

(usa Debian)

Enviado em 22/07/2017 - 10:01h

Cenário:

[Gateway]
- eth0 -> interface pública;
- eth1 -> interface privada;

[Estação 1]
- eth1 -> interface privada

Objetivo:
Liberar internet para Estação 1 através do Gateway.

Problema:
Devido à segurança do host em nuvem, o Hypervisor "dropa" os pacotes de saída da máquina Estação 1 para evitar IP Spoofing.

Detalhes:
On DigitalOcean, packets leaving a Droplet with a different source address will actually be dropped by the hypervisor, so your packets at this stage will never even make it to the web server (we will fix this by implementing SNAT momentarily). This is an anti-spoofing measure put in place to prevent attacks where large amounts of data are requested to be sent to a victim's computer by faking the source address in the request.


O que fiz
Já tentei usar iptables com MASQUERADE ou com SNAT. Teoricamente em redes convencionais o problema seria simples de resolver e com uma destas duas opções citadas estaria resolvido.

O que fazer
Alguém tem alguma ideia do que fazer para contornar este problema?



  


2. Re: IPTABLES - Liberar Internet em Rede Local Utilizando Gateway Através de Hypervisor

Buckminster
Buckminster

(usa Debian)

Enviado em 22/07/2017 - 17:35h

Uma sugestão:

"Com o snat ( source nat ) é possível alterar o endereço de origem no cabeçalho (header) dos pacotes que combinam com a regra criada.

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 172.16.1.123

Nesta regra, todos os pacotes que saírem pela interface de rede eth0 terão os endereços de origem alterados para 172.16.1.123."

https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=5


3. Re: IPTABLES - LIBERAR TUDO DE DENTRO PARA FORA DA REDE INTERNA

José
zehErico

(usa Debian)

Enviado em 24/07/2017 - 10:03h

Agradeço a resposta e achei muito bom o conteúdo do link, porém infelizmente essa regra não serve para este caso. Mesmo sendo uma sugestão deles usá-la, ela não funciona.

Posso estar engando mas ao que entendi o IP da requisição (Estação 1) fica armazenado na tabela ARP do próprio Hypervisor, assim a regra com SNAT torna-se sem utilidade.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts