Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 1482 views
  • Users 0 members are here
Options
Suggested

IP-SPoofing, i want to modify those iptables-rules...URGENT!

ppanula
Hi

I got one public Internet-network (subnet). And because i want to use public IP's in our network behind firewall i got host-routing those unused public IPs thru Astaro. 

Fine, it works... i mean it does not work, because Astaro makes SPOOF_DROP -chain to Nat-table, and when i try to communicate with Internet Astaro drops all packets. I can ping those public IPs from Internet and it works okay (heh). 

Okay, so i logged to Astaro with SSH and manually deleteted in PREROUTING -chain SPOOF_DROP -link, and Astaro went crazy ;( I restarted machine after this modificating and all iptables rules were gone! WHOAH! And when i try to restore from backup, no hope, still all rules gone. Then i restarted even older backup and i got rules back, then i restore my new backup and restarted machine again... Still all iptables rules gone. Then i restore my older backup and that's it... My version is 3.041. I suspect that backup does not work with that version ;(. 

But my probles is those ip spoofing rules, how can i modify those, so i can communicate with Public IPs from behind firewall (firewall's public interface IP is in same subnet where those IPs are).
Parents Reply Children
  • 0 in reply to Chris_W
    [ QUOTE ]
    bullsh... what i was writing ....

    it seems to be same thing with ip-spoofing ....
    has anybody a solution for this yet???

    kind regards,
    christian   

    [/ QUOTE ]

    Heh, solution was to use Proxy-ARP and use netmask 255.255.255.255 to out-interface.Then i just routed IP-addresses to where i wanted. Works OK. 

    So it was no need to manually change those iptable-entries.
       
  • 0 in reply to ppanula
    hi,

    i also tried ProxyArp and netmask 32 on ethOutside, but it didn't work on my place.

    but creating a file: /etc/rc.d/ipnat.local (mode 400)  seams to help.
    It works with shutting off spoof-protection totally,
    i'm working on a more precise solution ;-)

    kind regards
      
  • 0 in reply to Chris_W
    lets say you have
    eth0: a.b.c.d/255.255.255.0 (network0)
    eth1: a.b.x.y/255.255.0.0 (network1)
    -
    you cannot access asl-box from eth0.
    cou can reach both networks from asl-box.
    login as root on console.

    iptables -t nat -L SPOOF_DROP -nv --line-numbers
    look for two lines with eth0 and a.b.0.0/16
    (should be one with LOG, one with DROP)

    delete these entries by line-nr (maybe 17, 18)
    iptables -t nat -D SPOOF_DROP 18
    iptables -t nat -D SPOOF_DROP 17
    (18 will change if you delete 17 first ;-)

    try to connetct from eth0-network again ....
    try to be lucky until you change some setting on the interfaces ..... :-(

    hope it helps ....

    proxy arp could have a problem with /16 /24 subnets, but asl-people don't believe me ... 

    but i keep on trying ...  
  • 0 in reply to Chris_W
    hey, it works now!

    took a.b.x.y/32 netmask on outer interface,
    and just added the route .... exactly as you wrote before ... 
    well so it doesn't find ip-spoofing any longer.
    only thing is, that the main-router of ISP (university) needed something like 4 hours to recognize new arp-table for my proxy-arp ...     and i was searching for mistakes on my machine ....
    so now it works fine ...  
Cookie Information Banner