Estou executando um firewall iptables no OpenSuSE 11.3 - recentemente me interessei por monitoramento e contabilidade de tráfego e, para esse fim, instalei o módulo iptables_netflow no firewall e a Plataforma WANGuard em outro servidor. O módulo iptables_netflow é construído e instalado e agregando dados; Eu posso ver as estatísticas mudarem em / proc / slabinfo e / proc / net / stat / ipt_netflow. O WANGUARD está configurado e funcionando, já que eu tinha o WANGuard exportando dados do netflow para ele por algum tempo para ter certeza de que funcionava. No entanto, não consigo obter a exportação netflow do firewall para o servidor WANGUARD. Minha configuração do iptables poderia estar bloqueando isso? iptables_netflow exporta na porta UDP 2055. Saída de iptables -L -n (no firewall)
Chain INPUT (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
FW-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
ACCEPT all -- 192.168.3.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
Chain FW-1-INPUT (1 references)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 192.168.3.0/24 0.0.0.0/0 udp dpt:161
ACCEPT tcp -- 192.168.3.0/24 0.0.0.0/0 tcp dpt:161
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:7788
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:694
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
ACCEPT tcp -- xx.xx.xx.xx 0.0.0.0/0 tcp dpt:5666
ACCEPT tcp -- xx.xx.xx.xx 0.0.0.0/0 tcp dpt:5666
ACCEPT udp -- xx.xx.xx.xx 0.0.0.0/0 udp dpt:123
ACCEPT udp -- xx.xx.xx.xx 0.0.0.0/0 udp dpt:123
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp multiport dports 4569,5060
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 4569,5060
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Eu tentei várias regras na tabela OUTPUT especificando o host de origem / destino & portos, mas não teve sorte.
Existem não regras iptables em vigor no servidor WANGuard.
Usando o tcpdump no firewall e no grep'ing para o IP do servidor WANGuard, o rendimento é
openvpn01:/home/gjones # tcpdump -i eth0 |grep 192.168.3.194
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:27:57.103687 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:57.302686 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:57.802683 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:58.503707 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:59.103688 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
No firewall eu corro "netstat -na" e procuro "2055" (a porta de destino do netflow)
udp 0 0 192.168.3.112:59531 192.168.3.194:2055 ESTABLISHED
No servidor WANGUARD, eu faço o mesmo:
# netstat -na |grep 2055
udp 0 0 192.168.3.194:51139 192.168.3.194:2055 ESTABLISHED
udp 0 0 192.168.3.194:2055 0.0.0.0:*
Por solicitação de Gaumire, aqui também é "netstat -uan"
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 192.168.3.194:51139 192.168.3.194:2055 ESTABLISHED
udp 0 0 192.168.3.194:2055 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 192.168.3.194:123 0.0.0.0:*
udp 0 0 127.0.0.2:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp 0 0 0.0.0.0:161 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:851 0.0.0.0:*
udp 0 0 :::111 :::*
udp 0 0 ::1:123 :::*
udp 0 0 fe80::2a0:d1ff:fee1:123 :::*
udp 0 0 :::123 :::*
udp 0 0 :::851 :::*
Note que eu também configurei um exportador de netflow no servidor WANGuard, que parece funcionar (recebo dados no WANGuard).
Verificando os registros para WANGuard Eu vejo o erro "PDU Inesperado: src_ip = 192.168.3.112 não configurado" O Google não mostra nada que eu possa encontrar.
Alguém pode me ajudar a descobrir onde está o erro?
Obrigado,
Kendall
Existe alguma coisa entre o openvpn01.dev e o host 192.168.3.194 que um firewall ou algum desses dispositivos pode ser ?? Um diagrama ajudaria. Se a saída do iptables for do seu servidor de vanguarda Suas políticas estão configuradas para ACCEPT, portanto, elas não deveriam ter sido o problema.
O serviço que você mencionou está sendo executado no servidor. Por favor, digite o comando abaixo como root.
#netstat -tupan | grep 'LIST\|*'
Para verificar se a configuração do iptables está bloqueando, geralmente é aconselhável desabilitar temporariamente o iptables (exceto para regras NETFLOW, é claro). Verifique também dmesg , pois pode haver mensagens importantes do kernel / módulo. A versão mais antiga do módulo NETFLOW deve ter sysctl net.netflow.destination set após as interfaces estarem ACIMA. Tente definir destino manualmente para verificar isso. Ou tente a versão latest do módulo do git repo (não do tar.gz). Verifique as estatísticas do módulo com cat /proc/net/stat/ipt_netflow para fluxos ignorados ou erros de soquete.