Problème de routage (iproute2 + iptables)

Salut,

Feb 17 10:34:30 kant kernel: NETFILTER: prerouting: IN=eth2 OUT >> MAC:00:20:c0:ff:ee:00:20:ea:f9:d5:f3:08:00 SRC‚.101.6.157
DST2.168.1.1 LEN` TOS=0x00 PREC=0x00 TTLW IDC208 DF PROTO=TCP
SPTR431 DPT000 WINDOWX40 RES=0x00 CWR ECE SYN URGP=0

En attaquant sur l'autre interface, j'obtiens :

Feb 17 10:35:29 kant kernel: NETFILTER: prerouting: IN=eth0 OUT >> MAC:00:20:c0:ff:ee:00:0b:23:0e:cf:74:08:00 SRC‚.101.6.157
DST2.168.254.1 LENR TOS=0x00 PREC=0x00 TTLV ID0749 DF PROTO=TCP
SPTR440 DPT000 WINDOWX40 RES=0x00 ACK URGP=0

Feb 17 10:35:29 kant kernel: NETFILTER: forward: IN=eth0 OUT=eth1
SRC‚.101.6.157 DST2.168.0.130 LENR TOS=0x00 PREC=0x00 TTLU
ID0749 DF PROTO=TCP SPTR440 DPT000 WINDOWX40 RES=0x00 ACK URGP=0

Je sèche de plus en plus. On y est presque, le tout est dans le
presque ;-)

As-tu bien mis la règle de NAT destination avec l'adresse de l'interface
eth2 ? Tu peux ajouter une règle LOG dans la chaîne INPUT pour voir si
le paquet ne partirait pas par là.

Vérifie aussi que le reverse path filtering est désactivé sur eth2 au
moins. /proc/sys/net/ipv4/conf/eth2/rp_filter doit contenir 0.

Sinon
tout paquet entrant sur eth2 avec une adresse source ne correspondant
pas à une route sortant par cette interface (ce qui est le cas puisque
la route par défaut normale passe par eth0) est rejeté. Le symptôme
correspond à ce que tu observes : le paquet traverse PREROUTING mais ne
va pas plus loin.

Autrement, quelques suggestion en vrac et sans garantie.

- La cible CONNMARK du patch-o-matic pourrait être intéressante dans ton
cas pour marquer les paquets retour avant la décision de routage
(problème évoqué par Tichou dans le message auquel tu répondais).

- Si le routeur relié à eth2 est capable de faire du NAT source (SNAT)
dans le sens extérieur -> intérieur et que tu n'as pas besoin de voir
les véritables adresses sources sur le serveur, ça éviterait d'avoir à
jouer sur le routage de la passerelle.

et en ajoutant :

iptables -t mangle -A INPUT -p tcp --dport 3000
-j LOG --log-prefix 'NETFILTER: input: '

Dans le message <news:slrnd18pgb.slg.knatschke@rayleigh.systella.fr>,
*JKB* tapota sur f.c.o.l.configuration :

J'ai remis ceci :

iptables -t mangle -A PREROUTING -p tcp --sport 3000:3001
-s 192.168.0.130 -j MARK --set-mark 1

ip rule add fwmark 0x01 table intranet

et cela :

iptables -t mangle -A PREROUTING -p tcp --dport 3000
-j LOG --log-prefix 'NETFILTER: prerouting: '
iptables -t mangle -A FORWARD -p tcp --dport 3000
-j LOG --log-prefix 'NETFILTER: forward: '
iptables -t mangle -A POSTROUTING -p tcp --dport 3000
-j LOG --log-prefix 'NETFILTER: postrouting: '

le résultat des logs dans les messages du noyau.

et j'obtiens :

Feb 17 10:34:30 kant kernel: NETFILTER: prerouting: IN=eth2 OUT >> MAC:00:20:c0:ff:ee:00:20:ea:f9:d5:f3:08:00 SRC‚.101.6.157
DST2.168.1.1 LEN` TOS=0x00 PREC=0x00 TTLW IDC208 DF PROTO=TCP
SPTR431 DPT000 WINDOWX40 RES=0x00 CWR ECE SYN URGP=0

et en ajoutant :

iptables -t mangle -A INPUT -p tcp --dport 3000
-j LOG --log-prefix 'NETFILTER: input: '

obtenez-vous quelque chose de plus ?

De plus, vu que la connexion n'aboutit pas, elle se termine par un «
timeout » ou un « connection refused » ?

Je sèche de plus en plus.

Soit le paquet n'est pas naté et on devrait vraisemblament le « voir » dans
la chaîne INPUT de la table mangle.
Soit le paquet est bien naté, mais alors dans ce cas il n'est pas routé vu
qu'il n'est pas loggé dans la chaîne FORWARD. Comme les tables de routage
semblent correctes, il pourrait alors s'agir d'un problème de forwarding.

On y est presque, le tout est dans le presque ;-)

J'espère parce que j'avoue commence à sécher un peu.

Le 17-02-2005, à propos de
Re: Problème de routage (iproute2 + iptables),
Pascal@plouf écrivait dans fr.comp.os.linux.configuration :

Salut,

Feb 17 10:34:30 kant kernel: NETFILTER: prerouting: IN=eth2 OUT >>> MAC:00:20:c0:ff:ee:00:20:ea:f9:d5:f3:08:00 SRC‚.101.6.157
DST2.168.1.1 LEN` TOS=0x00 PREC=0x00 TTLW IDC208 DF PROTO=TCP
SPTR431 DPT000 WINDOWX40 RES=0x00 CWR ECE SYN URGP=0

En attaquant sur l'autre interface, j'obtiens :

Feb 17 10:35:29 kant kernel: NETFILTER: prerouting: IN=eth0 OUT >>> MAC:00:20:c0:ff:ee:00:0b:23:0e:cf:74:08:00 SRC‚.101.6.157
DST2.168.254.1 LENR TOS=0x00 PREC=0x00 TTLV ID0749 DF PROTO=TCP
SPTR440 DPT000 WINDOWX40 RES=0x00 ACK URGP=0

Feb 17 10:35:29 kant kernel: NETFILTER: forward: IN=eth0 OUT=eth1
SRC‚.101.6.157 DST2.168.0.130 LENR TOS=0x00 PREC=0x00 TTLU
ID0749 DF PROTO=TCP SPTR440 DPT000 WINDOWX40 RES=0x00 ACK URGP=0

Je sèche de plus en plus. On y est presque, le tout est dans le
presque ;-)

As-tu bien mis la règle de NAT destination avec l'adresse de l'interface
eth2 ? Tu peux ajouter une règle LOG dans la chaîne INPUT pour voir si
le paquet ne partirait pas par là.

J'arrive maintenant à toucher mon serveur intranet derrière la
passerelle :

Feb 17 13:52:04 kant kernel: NETFILTER: prerouting: IN=eth2 OUT > MAC:00:20:c0:ff:ee:00:20:ea:f9:d5:f3:08:00 SRC‚.101.6.157
DST2.168.1.1 LEN` TOS=0x00 PREC=0x00 TTLW ID!401 DF PROTO=TCP
SPTU752 DPT000 SEQ557923278 ACK=0 WINDOWX40 RES=0x00 CWR ECE SYN
URGP=0 OPT (0204058C0402080A1314DBEF0000000001030300)
Feb 17 13:52:04 kant kernel: NETFILTER: forward: IN=eth2 OUT=eth1
SRC‚.101.6.157 DST2.168.0.130 LEN` TOS=0x00 PREC=0x00 TTLV
ID!401 DF PROTO=TCP SPTU752 DPT000 WINDOWX40 RES=0x00 CWR ECE
SYN URGP=0
Feb 17 13:52:04 kant kernel: NETFILTER: postrouting: IN= OUT=eth1
SRC‚.101.6.157 DST2.168.0.130 LEN` TOS=0x00 PREC=0x00 TTLV
ID!401 DF PROTO=TCP SPTU752 DPT000 WINDOWX40 RES=0x00 CWR ECE
SYN URGP=0

Mon serveur intranet répond (vérifié avec tcpdump -i eth1 port
3000), mais les paquets ne sont pas routés en sortie vers eth2...

Pourtant, j'ai bien :

Root kant:[~] > ip rule list
0: from all lookup local
32764: from all fwmark 0x1 lookup intranet
32765: from 192.168.1.1 lookup intranet
32766: from all lookup main
32767: from all lookup default
Root kant:[~] > ip route list table intranet
default via 192.168.1.254 dev eth2
Root kant:[~] >

En fait, dans les logs, je vois :

Feb 17 13:57:46 kant kernel: NETFILTER: prerouting: IN=eth1 OUT > MAC:00:20:c0:ff:ee:00:11:11:10:93:05:08:00 SRC2.168.0.130
DST‚.101.6.157 LEN` TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=TCP
SPT000 DPTU807 SEQ509666408 ACK942000313 WINDOWW92 RES=0x00
ACK SYN URGP=0 OPT (020405B40402080A2EBC00991315589F01030300)
Feb 17 13:57:46 kant kernel: NETFILTER: prerouting: IN=eth1 OUT=eth0
SRC2.168.0.130 DST‚.101.6.157 LEN` TOS=0x00 PREC=0x00 TTLc ID=0
DF PROTO=TCP SPT000 DPTU807 SEQ509666408 ACK942000313
WINDOWW92 RES=0x00 ACK SYN URGP=0 OPT
(020405B40402080A2EBC00991315589F01030300)
Feb 17 13:57:46 kant kernel: NETFILTER: prerouting: IN= OUT=eth0
SRC2.168.0.130 DST‚.101.6.157 LEN` TOS=0x00 PREC=0x00 TTLc ID=0
DF PROTO=TCP SPT000 DPTU807 SEQ509666408 ACK942000313
WINDOWW92 RES=0x00 ACK SYN URGP=0 OPT
(020405B40402080A2EBC00991315589F01030300)

Oups, erreur de ma part : il y a du prerouting, forward et
postrouting... Erreur de copier coller de ma part...

SI j'ai bien compris, les paquets provenant des ports 3000 et 3001
sont marqués par la table mangle et sont censés suivre la table
intranet, non ?

Où est le problème ?

Oups, erreur de ma part : il y a du prerouting, forward et
postrouting... Erreur de copier coller de ma part...

Pas de souci, j'avais compris en regardant des interfaces d'entrée et de
sortie :)

SI j'ai bien compris, les paquets provenant des ports 3000 et 3001
sont marqués par la table mangle et sont censés suivre la table
intranet, non ?

Je dirais oui d'après le contenu de tes messages. Ceci dit, je n'ai
jamais utilisé le marquage de paquets dans Netfilter pour faire du routage.

Où est le problème ?

Aucune idée, désolé. Déjà il faudrait un moyen de vérifier que les
paquets ciblés sont bien marqués. Peut-être une cible LOG avec
correspondance "-m mark" placée dans la chaîne FORWARD ?

Ce qui serait bien, c'est d'avoir une vrai doc d'iproute...

Déjà il faudrait un moyen de vérifier que les
paquets ciblés sont bien marqués. Peut-être une cible LOG avec
correspondance "-m mark" placée dans la chaîne FORWARD ?

Pas besoin, il y a un compteur qui s'incrémente et iptables -t
mangle -n -v -L permet de l'avoir... Les paquets passent bien par
cette règle...

Ce qui serait bien, c'est d'avoir une vrai doc d'iproute...

Comme ça ?
http://www.policyrouting.org/iproute2-toc.html
En tout cas c'est tout ce que j'ai.

Déjà il faudrait un moyen de vérifier que les
paquets ciblés sont bien marqués. Peut-être une cible LOG avec
correspondance "-m mark" placée dans la chaîne FORWARD ?

Pas besoin, il y a un compteur qui s'incrémente et iptables -t
mangle -n -v -L permet de l'avoir... Les paquets passent bien par
cette règle...

En effet, tu as raison.

Bon, je viens d'essayer chez moi une version simplifiée de ta manip
histoire de savoir enfin de quoi je parle dans ce fil. Je savais bien
qu'un PC avec 3 cartes réseau pouvait être utile. Par la même occasion
j'ai appris des trucs, comme quoi j'avais inconsidérement patché mon
dernier noyau 2.4.29 de test à grands coups de patch-o-matic-ng comme un
gros goret, rendant le module ipt_MARK incompatible avec mon iptables
version 1.2.6a que j'ai la flemme de mettre à jour. Ou comme quoi mon
iproute2 version 20010824 interprète et affiche la valeur de fwmark
comme de l'hexa même sans 0x devant :- .

Un reboot sur un ancien noyau 2.4.18 plus tard, je peux écrire
l'expression consacrée : chez moi ça marche (c).

Je n'ai pas tout mis en place comme dans ton installation, juste la
passerelle et une machine jouant le rôle de ton serveur, et rien sur les
interfaces vers les routeurs (finalement j'aurais pu faire avec une
seule carte réseau et deux interfaces dummy). La correspondance qui sert
à reconnaître les paquets à marquer est différente (sur adresse
destination pour faire simple) et il n'y avait pas de NAT mais je ne
pense pas que ça ait d'influence. J'ai bien réussi à faire en sorte que
des paquets émis par le serveur et marqués sortent par une interface
alors que la route normale passait par l'autre interface.

Ah, un détail pratique qui peut être utile : après changement dans les
tables et règles de routage, il vaut mieux vider le cache de routage
avec "ip route flush cache" sinon les routes en cache restent actives
jusqu'à ce qu'elles expirent.

Ce qui serait bien, c'est d'avoir une vrai doc d'iproute...

Comme ça ?
http://www.policyrouting.org/iproute2-toc.html
En tout cas c'est tout ce que j'ai.

SI j'ai bien compris, les paquets provenant des ports 3000 et 3001
sont marqués par la table mangle et sont censés suivre la table
intranet, non ?

Où est le problème ?