iptables nat ja haproxy

[dataaja95]

Terve
Olemassa on gatewaykone julkisella ip-osoitteella, josta on muodostettu wireguardilla yhteys haproxykoneelle, josta olisi tarkoitus reitittää liikenne eteenpäin esim vaikkapa matrixserverille jne palveluille, saisin siis verkossani pyöriville palveluille kiinteän ip:n tuon gatewaykoneen kautta, miten saisin nuo palvelut näkymään ulkoiseen mailmaan gatewaykoneen kautta, ilmeisesti tuossa tarvitaan iptablesin kanssa säätämistä ja nattausta, mutta miten se toteutetaan, pystyn pingaamaan haproxykoneelta vpn-gatewaykonetta, mutta esim joiltain serverikoneelta en pysty pingaamaan ulkoverkon osoitteita, paketit kyllä näkyvät vpn-liitännässä ok, mutta vastausta tämä serverikone ei koskaan saa, miten tässä siis kannattaisi edetä.

haproxykoneen ip-osoite wireguardilla on 10.10.10.2 ja gateway on sille 10.10.10.1 esim serverin jonka liikenteen tai tietyt portit haluaisin näkymään ulkomailmaan osoite on 192.168.3.10, tämä serveri 192.168.3.10 ei ole siis osa vpn:ää vaan haproxyn pitäisi välittää sille liikenne. Olisiko iptablesille lisäksi jotain helpompaa konfigurointiympäristöä, peruskonffi nyt menee ihan iptabelsilla, mutta kun ruvetaan säätämään nattien sun muiden kanssa loppuu meikäläiseltä osaaminen.

 

[Hyrava]

Terve
Olemassa on gatewaykone julkisella ip-osoitteella, josta on muodostettu wireguardilla yhteys haproxykoneelle, josta olisi tarkoitus reitittää liikenne eteenpäin esim vaikkapa matrixserverille jne palveluille, saisin siis verkossani pyöriville palveluille kiinteän ip:n tuon gatewaykoneen kautta, miten saisin nuo palvelut näkymään ulkoiseen mailmaan gatewaykoneen kautta, ilmeisesti tuossa tarvitaan iptablesin kanssa säätämistä ja nattausta, mutta miten se toteutetaan, pystyn pingaamaan haproxykoneelta vpn-gatewaykonetta, mutta esim joiltain serverikoneelta en pysty pingaamaan ulkoverkon osoitteita, paketit kyllä näkyvät vpn-liitännässä ok, mutta vastausta tämä serverikone ei koskaan saa, miten tässä siis kannattaisi edetä.

haproxykoneen ip-osoite wireguardilla on 10.10.10.2 ja gateway on sille 10.10.10.1 esim serverin jonka liikenteen tai tietyt portit haluaisin näkymään ulkomailmaan osoite on 192.168.3.10, tämä serveri 192.168.3.10 ei ole siis osa vpn:ää vaan haproxyn pitäisi välittää sille liikenne. Olisiko iptablesille lisäksi jotain helpompaa konfigurointiympäristöä, peruskonffi nyt menee ihan iptabelsilla, mutta kun ruvetaan säätämään nattien sun muiden kanssa loppuu meikäläiseltä osaaminen.

Jos liikenne näkyy toiseen suuntaan mutta vastausta ei tunnu tulevan niin ensimmäisenä mieleen tulee että onko paketin paluureitti kunnossa? On meinaan varmaan yleisimpiä unohduksia ainakin itselläni kun vastaavia juttuja teen.

Onhan iptablesille vaikka minkälaisia konffaustyökaluja mutta niissä yleensä on ongelmana että niillä on vielä hankalampi tehdä yhtään monimutkaisempaa, joten itse olen todennut että helpoin tapa on edelleen kirjoittaa loitsut käsin itse.

Jos en nyt ihan väärin ymmärtänyt tuota sun selitystä niin eikös tuo menisi jotenkin näin:

iptables -t nat -A PREROUTING -d 10.10.10.2 --dport portti -j DNAT --to-destination 192.168.3.10:portti

Ja tietty tarvittavat palomuuriavaukset ja reitit lisäksi.

 

[dataaja95]

Jos liikenne näkyy toiseen suuntaan mutta vastausta ei tunnu tulevan niin ensimmäisenä mieleen tulee että onko paketin paluureitti kunnossa? On meinaan varmaan yleisimpiä unohduksia ainakin itselläni kun vastaavia juttuja teen.

Onhan iptablesille vaikka minkälaisia konffaustyökaluja mutta niissä yleensä on ongelmana että niillä on vielä hankalampi tehdä yhtään monimutkaisempaa, joten itse olen todennut että helpoin tapa on edelleen kirjoittaa loitsut käsin itse.

Jos en nyt ihan väärin ymmärtänyt tuota sun selitystä niin eikös tuo menisi jotenkin näin:

iptables -t nat -A PREROUTING -d 10.10.10.2 --dport portti -j DNAT --to-destination 192.168.3.10:portti

Ja tietty tarvittavat palomuuriavaukset ja reitit lisäksi.

Tehtäisiinkö tuo iptableskonffi siis gatewaykoneella vai haproxykoneella. Joudunko tekemään gatewaykoneen palomuuriin muita muutoksia kuin porttien avaamisen, kaikki nattaus tehtäisiin siis ilmeisesti haproxykoneella. EIkö gatewayllekin pidä tehdä jotain nattimuutoksia, jos haluan tavoittaa sisäverkon palvelut ulkoista ip:tä käyttäen.

 

[dataaja95]

Mielenkiintoista, portit näkyvät filtteröitynä jos skannaan niitä nmapilla ullkopuolelta eli siis esim omasta himaliittymästä käytäen serverin julkista ip-osoitetta, yritän siis saada tätä toimimaan reverse proxyn läpi

matrix-docker-ansible-deploy/docs/configuring-playbook-own-webserver.md at master · spantaleev/matrix-docker-ansible-deploy

🐳 Matrix (An open network for secure, decentralized communication) server setup using Ansible and Docker - spantaleev/matrix-docker-ansible-deploy

github.com

Dokcer ps näyttää näin
516ae7af546a traefik:v2.9.10 "/entrypoint.sh --co…" 11 minutes ago Up 11 minutes 80/tcp, 0.0.0.0:8448->8448/tcp, :::8448->8448/tcp, 0.0.0.0:8k

a422ea3f145f ghcr.io/matrix-org/synapse:v1.82.0 "/start.py run -m sy…" 12 minutes ago Up 12 minutes (healthy) 8008-8009/tcp, 8448/tcp
48e517b31211 nginx:1.23.3-alpine "/docker-entrypoint.…" 12 minutes ago Up 12 minutes 80/tcp n
08b1385a2fa1 ghcr.io/tecnativa/docker-socket-proxy:0.1.1 "/docker-entrypoint.…" 12 minutes ago Up 12 minutes 2375/tcp

käsittääkseni noiden pitäisi kuunnella kaikkia liitäntöjä eikä minkään pitäisi olla filtteröitynä, onko kukaan virittänyt tätä haproxyn kanssa toimimaan. tarkoituksena olisi siis, että yhteys kulkisi gatewaykoneelta ensin haproxylle, josta matrixiin ja tarvittaviin muihin verkossa pyöriviin palveluihin.