1 Temat przez marian.italian (edytowany przez marian.italian 2022-09-30 14:22:41)

  • Zarejestrowany: 2011-05-17
  • Posty: 64

Temat: Filtrowanie ruchu wewnątrz br-lan - kmod-br-netfilter

Witam,

Próbuję ogarnąć skrypt do budzenia serwera wewnątrz LAN przy próbie połączenia się z nim wg https://gist.github.com/felixhummel/633 … e565b6bae8. Mam jednak problem, bo po zainstalowaniu 

kmod-br-netfilter

i ustawieniu w pliku /etc/sysctl.conf 

net.bridge.bridge-nf-call-iptables=1

oraz w pliku /etc/firewall.user 

iptables -I FORWARD 1 -p tcp -d 192.168.2.12 -m limit --limit 1/minute -j LOG --log-prefix "WOL_LOG:  " --log-level 7

znajduję w logu informacje tylko o połączeniach źródłowych z interfejsów innych niż br-lan, np:

kern.debug kernel: [20788.350615] WOL_LOG:  IN=eth0 OUT=br-lan MAC=74:83:c2:0a:ed:1e:8c:25:05:0f:76:8f:08:00 SRC=51.104.162.168 DST=192.168.2.12 LEN=40 TOS=0x00 PREC=0x00 TTL=107 ID=39875 DF PROTO=TCP SPT=443 DPT=54964 WINDOW=0 RES=0x00 ACK RST URGP=0
kern.debug kernel: [17652.158621] WOL_LOG:  IN=wg0 OUT=br-lan MAC= SRC=10.0.0.3 DST=192.168.2.12 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=34764 DF PROTO=TCP SPT=38272 DPT=3389 WINDOW=65535 RES=0x00 SYN URGP=0

Czy jest szansa żeby iptables wypluło do loga próby połączeń wewnątrz br-lan [IN=br-lan]?

System OpenWrt 21.02-SNAPSHOT, r16295-3a051a234a
Machine: Ubiquiti EdgeRouter X

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,965

Odp: Filtrowanie ruchu wewnątrz br-lan - kmod-br-netfilter

Ruch wewnątrz lan nie przepływa przez podsystem sieciowy na routerze, wszystko odbywa się już w obrębie switcha.
Musiał byś sobie rozdzielić wszystkie porty na oddzielne interfejsy żeby ew widzieć taki ruch.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez marian.italian

  • Zarejestrowany: 2011-05-17
  • Posty: 64

Odp: Filtrowanie ruchu wewnątrz br-lan - kmod-br-netfilter

Czyli potrzebuję zrobić coś takiego:
eth0 - WAN
eth1 eth2 eth3 - br-lan
eth4 - lan4 - tutaj wpianam serwer

Czyli byłoby coś takiego:

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'eth1'
        list ports 'eth2'
        list ports 'eth3'

config device
        option name 'lan4'
        list ports 'eth4'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.2.1'

config interface 'lan_4'
        option device 'lan4'
        option proto 'static'
        option netmask '255.255.255.0'  <----?
        option ip6assign '60'  <----?
        option ipaddr '192.168.2.1'  <----?

config interface 'wan'
        option device 'eth0'
        option proto 'static'
        option ipaddr '192.168.8.2'
        option netmask '255.255.255.0'
        option gateway '192.168.8.1'
        list dns '192.168.8.1'
        list dns '8.8.8.8'

Coś przydałoby się pozmieniać w zaznaczonych miejscach? Czy trzeba jeszcze dodać coś do innych plików konfiguracyjnych?

I żeby ruch swobodnie przepływał między br-lan a lan4 to trzeba zrobić między nimi bridge czy dodać reguły do firewalla? Czy będzie zauważalny spadek transferu pomiędzy? Sorry za banalne pytania, ale nie jestem zbyt biegły w takie sprawy.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,965

Odp: Filtrowanie ruchu wewnątrz br-lan - kmod-br-netfilter

Pewnie inna adresacja np 192.168.3.1 plus zezwolenie na forwarding lan<> lan_4

Ale serio chcesz się tym bawić tylko po to żeby logować ruch na routerze? Postaw sobie w sieci lokalnej tcpdumpa to będziesz to samo dokładnie widział.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez marian.italian

  • Zarejestrowany: 2011-05-17
  • Posty: 64

Odp: Filtrowanie ruchu wewnątrz br-lan - kmod-br-netfilter

Chodzi mi o budzenie serwera z udostępnionymi plikami na Win10pro. Router cały czas działa i wydaje się, że nadaje się do tego całkiem dobrze. A gdyby postawić tcpdump na routerze i filtrować tylko potrzebne informacje i wypluwać do loga to nie bedzie bardziej obciążał routera niż dodatkowy interfejs?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,965

Odp: Filtrowanie ruchu wewnątrz br-lan - kmod-br-netfilter

I tak i tak masz masz uruchomiony proces który biega w kółko.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona