IPtables a zařízení za NAT

[Navsteva]

Zdar!

Provozuji svůj Linuxový firewall už nějaký ten pátek, ale teď mám problém a nejsem si úplně jistý, co s tím.

Vnější IP je veřejná, vnitřní síť 10.0.0.0/24

Aby zařízení mohly ven, je nastavené pravidlo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Funguje to, zařízení můžou do internetu.

Jenže vždycky na chvilku potřebuji do internetu vystrčit jedno zařízení, mám nakonfigurovaný DNAT.

iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389
Tj, co přijde na místní port, posunu na 10.0.0.2:3389, to funguje.

Funguje to, ale divně, pořád to vyhazuje chyby o nezabezpečeném spojení.
Myslím, že bych měl upravovat ještě odchozí pakety, nastavit SNAT.
Jenže jak?

Nějak takhle?
iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.2 --dport 3389 -j SNAT --to-source MojeVeřejnáIP?
Nebo tam mám uvést přímo adaptér? (Jak?)

Nebo se o to nemusím starat, protože je zapnutá Maškaráda?
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Jsem z toho vážně zmatený.
Já se tím nakonec prokoušu, ale kdybyste mě chtěli popostrčit, budu rád.

[Reklama]

[Filip Jirsák]

Funguje to, ale divně, pořád to vyhazuje chyby o nezabezpečeném spojení.

Co vyhazuje chyby o nezabezpečeném spojení? Webový prohlížeč? Pak to s NATem vůbec nijak nesouvisí – buď tím prohlížečem přistupujete přes HTTP (nešifrovaný protokol), nebo sice používáte HTTPS, ale je v něm něco špatně – slabá šifra, nedůvěryhodný certifikát, nějaké soubory (styly, skripty, obrázky) se stahují přes HTTP.

[Jenda]

Co vyhazuje chyby o nezabezpečeném spojení? Webový prohlížeč?

Forwarduje port 3389, takže předpokládám, že remote desktop. Ale problém bude v tomtéž - je potřeba zjistit, jak daný rdesktop klient ověřuje identitu protistrany, a opravit to.

[Navsteva]

Pane Jirsáku, prosím, realizujte se někde jinde.

Všem ostatním se omlouvám, nemám s tímto pánem vůbec dobrou zkušenost.
Jinak se samozřejmě jedná o RDP a jsem dost přesvědčený, že je to chybějícím SNATem, který bohužel neumím nastavit.

[Navsteva]

Ale problém bude v tomtéž

Není, pokud použiji krabičku od ASUSu nebo se připojím přímo, spojení funguje korektně.

[Reklama]

[Jenda]

Když to máte těžké, když jste nenapsal ani jakého RDP klienta a server používáte a o jakou „chybu zabezpečení“ jde.

Není, pokud použiji krabičku od ASUSu nebo se připojím přímo, spojení funguje korektně.

Třeba si to pamatuje IP adresu. RDP neznám, ale pokud bych předpokládal, že to funguje stejně jako SSH, tak to si do known_hosts ukládá mapování klíčů a adres. A pokud to naopak používá PKI, tak v certifikátu bude adresa/hostname, který při DNATování máte nejspíš jinou.

[Jenda]

Jinak se samozřejmě jedná o RDP a jsem dost přesvědčený, že je to chybějícím SNATem

Já jsem zase dost přesvědčený, že RDP vytvoří TCP spojení, a co je pod tím, je mu úplně fuk.

[xxxxx]

Bez bližšího info o chybě je to hádání z křišťálové koule.
Jeden z odhadů ... netýká se to žádného z NATů, ale přímo RDP (vlastnost). Hledat něco na styl:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/f843bcd7-8a97-4c9f-9310-c6220a343544/remote-desktop-connection-rdcrdp-security-warning  (Byť se popisuje info pro XP, u W7 to občas řvalo také, imho obecný problém. )

https://blogs.technet.microsoft.com/askpfeplat/2017/12/18/remote-desktop-connection-rdp-certificate-warnings/

[Lol Phirae]

S NATem to nemá nic společného a bez AD/CA/GPO a dalšího značného voseru tomu nebude nikdy jinak.

[Lol Phirae]

A ještě bych dodal, že již značnou dobu se používá TCP i UDP současně.

[BobTheBuilder]

Z druhého výše uvedeného odkazu: "Let’s be clear on one thing: The warning messages / pop-ups that end users see connecting via RDP are a GOOD THING. Microsoft wants you to be warned if there’s a potential risk of a compromise."
Další věc: vystavit do internetu službu remote desktop na standardním portu je pozvánkou pro pokusy o útok, dále tím říkáte: tady mám Windows, pojďte to zkusit hacknout.
Nejlepší je použít VPN a když to nejde, tak aspoň službu (zvenku) provozovat na jiném čísle portu, a to dost vysokém - tím se zbavíte aspoň script kiddies. Cílenému útoku na vás pomůže jen ta VPN.

[Filip Jirsák]

Pane Jirsáku, prosím, realizujte se někde jinde.

Všem ostatním se omlouvám, nemám s tímto pánem vůbec dobrou zkušenost.
Jinak se samozřejmě jedná o RDP a jsem dost přesvědčený, že je to chybějícím SNATem, který bohužel neumím nastavit.

Váš problém je, že se upnete na nesmysl, ke kterému jste dospěl bůhvíjak, a nenecháte si poradit od zkušenějších. A to se týká obou vašich problémů. Ale když jste přesvědčený, tak jste přesvědčený, já vás o opaku přesvědčovat nebudu.

[Pučmeloun]

a nenecháte si poradit od zkušenějších

A to myslíš jako sebe jo 
Ty chceš zabít půlku Fóra, smát se v horku, to je o infarkt 

[Pučmeloun]

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Vážně nejsem expert na IPtables, ale pokud je nastavená maškaráda na výstupu, nemusíš dělat SNAT.

[j]

...
Další věc: vystavit do internetu službu remote desktop na standardním portu je pozvánkou pro pokusy o útok, ...

heh ... utok na libovolnej nestandardni port ti prijde pozdejs presne o tech par vterin co trva proscanovat vsechny porty. Zato se z mnoha korporatnich siti na nestandardni port nepripojis vubec.

Váš problém je, že se upnete na nesmysl, ke kterému jste dospěl bůhvíjak, a nenecháte si poradit od zkušenějších. A to se týká obou vašich problémů. Ale když jste přesvědčený, tak jste přesvědčený, já vás o opaku přesvědčovat nebudu.

Zavri hubu jirsaku, zvanis picoviny o vecech o kterych viz hovno coz se nalezite projevilo, kdyz picujes o http pricemz jde o rdp.

...

Kristalova koule ju? Tyhle pindy o zabezpeceni widle picujou, pokud se z w7+ pripojujes na XPlike widle (trebas i 2k3 server) NEBO ... nemas zaskrtnuto v nastaveni RDP pouzivat zabezpeceni na sitovy vrstve. Pokud na ne lezes z XP like systemu, tak to samo nepinda nic.  Samo pokud tohle nastavis na strane serveru, tak se na nej z XP uz nepripojis.

A priste se nauc napsat doslova to co ti to hlasi, protoze bez ty hlasky vime kulovy.