AlGiorgio
@AlGiorgio

Как настроить iptables для работы приложения на клиентской машине внутренней сети?

Вопрос по iptables
Есть сеть виртуальных машин, поднятых на VirtualBox

I. Первая, назовем её Сервер, играет роль шлюза
OS - Ubuntu Desktop 16.04 LTS
Имеет два сетевых интерфейса:
1) NAT:
enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:d1:38:f2 brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic enp0s3
       valid_lft 54554sec preferred_lft 54554sec
    inet6 fe80::8ca9:6ac7:9b8e:b285/64 scope link 
       valid_lft forever preferred_lft forever

2) Intnet:
enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:c4:12:c7 brd ff:ff:ff:ff:ff:ff
    inet 192.168.3.1/24 brd 192.168.3.255 scope global enp0s8
       valid_lft forever preferred_lft forever
    inet6 fe80::3db0:c89c:7b8f:8b5c/64 scope link 
       valid_lft forever preferred_lft forever

Также установлен сервис dnsmasq для назначения ip-адресов хостам в Intnet.

Для обеспечения Интернет-соединения на Клиенте, включил маскарадинг в iptables:
iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE


А также форфардинг портов:
sysctl -w net.ipv4.conf.all.forwarding=1


II. Вторая, назовем её Клиент, используется для анализа работы приложения
OS - Android KitKat 4.4
Имеет один сетевой интерфейс:
1) Intnet:
eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:5c:0b:c5 brd ff:ff:ff:ff:ff:ff
    inet 192.168.3.70/24 brd 192.168.3.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe5c:bc5/64 scope link 
       valid_lft forever preferred_lft forever

Маршруты на Клиенте:
default via 192.168.3.1 dev eth0 
default via 192.168.3.1 dev eth0  metric 204 
192.168.3.0/24 dev eth0  scope link 
192.168.3.0/24 dev eth0  proto kernel  scope link  src 192.168.3.70  metric 204 
192.168.3.1 dev eth0  scope link

Описанная выше конфигурация обеспечивает стабильное Интернет-соединение на Клиенте.

На клиенте же установлено приложение, которое работает на портах 9080, 9081.
Необходимо изучить сетевую активность, есть подозрения по вопросам безопасности.

На сервере установил sslsplit.

Нужна помощь в вопросе конфигурирования iptables для снятия траффика с 9080, 9081 портов на клиенте.

P.S.:
Пробовал задавать следующие настройки:
iptables -t nat -A PREROUTING -p tcp --dport 9080 -j REDIRECT --to-ports 8443
iptables -t nat -A PREROUTING -p tcp --dport 9081 -j REDIRECT --to-ports 8443


При этом запускал sslsplit с параметром:
ssl 0.0.0.0 8443

Пакеты sslsplit при этом не получал.

При этом, если дропать пакеты на указанные порты, приложение, как и ожидалось, не работает:
sudo iptables -t mangle -A PREROUTING -p tcp --dport 9080 -j DROP
sudo iptables -t mangle -A PREROUTING -p tcp --dport 9081 -j DROP
  • Вопрос задан
  • 55 просмотров
Пригласить эксперта
Ответы на вопрос 1
hint000
@hint000
у админа три руки
iptables -t nat -A PREROUTING -p tcp --dport 9080 -j REDIRECT --to-ports 8443
iptables -t nat -A PREROUTING -p tcp --dport 9081 -j REDIRECT --to-ports 8443

iptables -t nat -A PREROUTING -p tcp --dport 9080 -j DNAT --to-destination 192.168.3.1:8443
iptables -t nat -A PREROUTING -p tcp --dport 9081 -j DNAT --to-destination 192.168.3.1:8443
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы