Algo (mas não iptables) redireciona misteriosamente o tráfego de rede - como diagnosticar?

1

Resumo

Existe um host de caixa virtual (1.1.1.5) e um convidado roteado (1.1.1.6). Algo redireciona qualquer tráfego na porta 25 com o convidado, seja de entrada ou saída, para a porta 1.1.1.5 2525 e não consigo descobrir o que.

Os ips e macs são alterados para este post, é claro.

Configuração

Eu tenho a seguinte configuração:

  • há um servidor raiz do debian com IP 1.1.1.5, hospedando um servidor de caixa de entrada virtual
  • um segundo IP (1.1.1.6) é roteado para este servidor
  • esse segundo IP é roteado para uma interface de rede virtual "virbr1", que é usada por um servidor de mensagens guest debian virtualbox
  • no servidor raiz, o iptables está sendo executado e configurado com o ufw

A configuração funciona perfeitamente - eu posso pingar o servidor de e-mail no 1.1.1.6 e acessar sua interface web etc, o servidor de e-mail pode acessar a internet, tudo está bem, EXCETO aquela porta : tentando alcançar o servidor de e-mails na porta 25 não está funcionando.

Não se trata de uma porta 25 de bloqueio do ISP ou algo assim, é mais complexo. Leia em:)

Diagnóstico do problema

Telnet de externo

Quando tento fazer telnet de outro servidor:

telnet 1.1.1.6 25

a conexão expirará. No syslog do sistema host (1.1.1.5), a seguinte mensagem das tabelas ip é exibida:

[UFW BLOCK] IN=eth0 OUT= MAC=c8:c8:c8:c8:c8:c8:c8:fe:3d:46:e6:0f:08:00 SRC=2.2.2.5 DST=1.1.1.5 LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=45855 DF PROTO=TCP SPT=64059 DPT=2525 WINDOW=65535 RES=0x00 SYN URGP=0

Há uma coisa importante a ser observada aqui: Eu tentei me conectar a 1.1.1. 6 na porta 25 , mas o iptables bloco acontece em 1.1.1. 5 na porta 2525

Telnet da caixa de convidados

Quando faço SSH para o convidado do servidor de correio e, em seguida, dou outro servidor por telnet:

telnet 9.9.9.5 25

a conexão também irá expirar. Observe que todas as outras portas ou conexões funcionam. No log do sistema host, as seguintes mensagens indesejadas aparecem:

[UFW BLOCK] IN=virbr1 OUT= MAC=aa:aa:ab:ac:ad:af:af:ag:ag SRC=1.1.1.6 DST=1.1.1.5 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=3529 DF PROTO=TCP SPT=45250 DPT=2525 WINDOW=14600 RES=0x00 SYN URGP=0

Importante notar: o horário de verão deve ser 9,9.9.5, mas é o IP dos servidores host. O DPT era esperado para ser 25, mas é 2525.

Suposição

Parece que algo no sistema host 1.1.1.5 redireciona qualquer tráfego na porta 25 que passa por ele para si mesmo na porta 2525.

Procurando pela causa

Eu tentei as seguintes maneiras para encontrar a causa desse comportamento:

  • netstat -lnp no host não mostra nada ligado à porta 25 ou 2525
  • os arquivos de configuração em /etc/ufw , especialmente before.rules, não contêm nada sobre a porta 25, exceto os -A ufw-before-forward -i eth0 -d 1.1.1.6 -p tcp --dport 25 -j ACCEPT necessários
  • usando iptables -L -n | grep "25" mostra apenas a regra mencionada acima na cadeia de encaminhamento
  • mesmo em ufw logging high , o syslog não contém nada antes das mensagens de bloqueio mencionadas acima relacionadas aos pacotes em questão
  • Desativar o firewall com ufw disable não altera o problema
  • Nenhum arquivo de configuração menciona um 2525: egrep -R "2525" /etc não retorna nada.

Então, agora, eu estou sem noção. Como devo diagnosticar ainda mais esse problema? Qual pode ser a causa?

    
por Steffen Müller 04.04.2014 / 11:01

1 resposta

0

A solução foi bem simples: eu não sabia que iptables -L -n não mostra todas as regras, mas você precisa especificar iptables -t nat -L para mostrar a tabela de pré-detalhamento. Ele continha um redirecionamento para a porta 2525. Não fazia ideia de onde ele vinha, mas removê-lo resolveu o problema.

Então, crianças: se você tentar diagnosticar problemas de roteamento do iptables, saiba que há mais de uma tabela e confira a tabela nat.

Além disso, desculpe pela pergunta inútil.

    
por 01.05.2014 / 21:09