Zugriff auf NTP-Server von Blau

User avatar
FischerM
Community Developer
Community Developer
Posts: 934
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 15th, 2019, 2:46 pm

Hallo,
Hellfire wrote:Bin zwar noch immer auf der Suche, wie man das Debuggen könnte, also wie man Zuverlässigkeit prüfen könnte...
Da Du die Regel in die CUSTOMPREROUTING gesetzt hast, sollte ein Blick in die 'iptables'-Logseite helfen: FIREWALL / IPTables => IPTables Network Address Translation => CUSTOMPREROUTING.

Da sollten Deine o.a. Regeln drinstehen und ob Pakete darüber gelaufen sind.

Ansonsten kannst Du vll. noch eine Logging-Regel hinzufügen - kann ich aber grad nicht ausprobieren...

Gruß,
Matthias

EDIT: Hier sieht das z.B. so aus:

Image

Da braucht es noch DNAT dafür und das kann per GUI nicht eingestellt werden. Ist IMHO nur per Hand in der 'firewall.local' möglich.

User avatar
FischerM
Community Developer
Community Developer
Posts: 934
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 15th, 2019, 5:41 pm

Ahmt,

@MJ555:
Du schrubst:
MJ555 wrote:Unter Firewall7Zugriff auf Blau habe ich die Geräte eingetragen.
Ich muss jetzt nochmal nachfragen: Um welche, bzw. was für Geräte handelt es sich dabei genau?
MJ555 wrote:Noch schöner wäre es. wenn der IPFire-interne NTP-Server angeprochen wird. ... Hier bekomme ich jedoch immer noch noch ein 'DROP_Wirelessinput'.
Was genau steht in den Logs?

Ich habe sowas mit unseren Smartphones auch schon versucht. Aber ich bin erstmal daran gescheitert, dass es eben NICHT reichte, nur den Port 123 umzuleiten. Die Dinger wollten an ganz bestimmte Server und ließen sich auf Anhieb auch nicht davon abhalten. Einen eigenen Server (IP-Adresse, o.ä.) kann man dort nicht eintragen, ist auf den Androids hartkodiert. Muss ich nochmal drangehen.

Gruß,
Matthias

EDIT:
Ich habe durch Zufall einen Screenshot der Verbindungen machen können - so sieht das dann aus. Ist nicht das, was mir eigentlich gefällt, kam mit hoher Wahrscheinlichkeit ursprünglich alles von BLAU. Die anderen Geräte haben den IPFire fest eingetragen und halten sich daran. IMHO braucht man eine NAT / DNAT-Rule in der 'firewall.local'. Wenn ich mich irre, bitte richtigstellen:

Image

Hellfire
Posts: 580
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 15th, 2019, 7:57 pm

FischerM wrote:
January 15th, 2019, 5:41 pm
Ich habe durch Zufall einen Screenshot der Verbindungen machen können - so sieht das dann aus. Ist nicht das, was mir eigentlich gefällt, kam mit hoher Wahrscheinlichkeit ursprünglich alles von BLAU. Die anderen Geräte haben den IPFire fest eingetragen und halten sich daran. IMHO braucht man eine NAT / DNAT-Rule in der 'firewall.local'. Wenn ich mich irre, bitte richtigstellen:
Genau das habe ich gemacht: viewtopic.php?f=22&t=22156#p121789

Und eine FW-Regel fürs Logging funktioniert dann offensichtlich nicht mehr.

Michael
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 934
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 16th, 2019, 8:10 pm

Ahmt,
Hellfire wrote:Genau das habe ich gemacht...
Kann ja sein, dass ich ein Brett vorm Kopf habe, aber irgendwie habe ich zumindest ein Verständnisproblem.

Versuche ich z.B. eine ähnliche Regel per GUI zu bauen, werde ich angemeckert, dass Quelle und Ziel identisch seien.

Und das ist IMHO mein Problem: mir fehlt bei Deiner Regel die Umleitung, das genaue Ziel bzw. Ziel-Netz, also der Zwang, den IPFire-NTP-Server-Port zu verwenden.

NAT und REDIRECT ist drin, aber...

Port 123 soll auf Port 123 umgeleitet werden, aber woher weiß die Umleitung, in welches Netz bzw. zu welcher IP-Adresse umgeleitet werden soll? Der Effekt soll ja sein, nur den eigenen NTP-Server anzusprechen. Tut diese Regel genau das?

Kommt jetzt z.B. ein Anfrage aus dem blauen Netz in Richtung eines fest eingestellten externen Zeitservers mit der IP-Adresse NTP_IRGENDWOHIN, wird dann diese Anfrage durch Deine Regel mit Sicherheit in Richtung des eigenen Zeitservers auf dem IPfire umgeleitet? Mit DHCP-Einträgen (Primärer NTP-Server:) und -Optionen (ntp-servers) habe ich es bisher nicht hinbekommen (siehe oben).

So wie ich die iptables bisher verstanden habe, wäre eine ähnliche Regel wie bei den DNS-Abfragen notwendig:

Code: Select all

iptables -t nat -A CUSTOMPREROUTING -o blue0 -p udp --dport 123 -j DNAT --to [IP_ADRESSE_BLAUES_NETZ]:123
Damit ist egal, an welche IP-Adresse die NTP-Anfrage geht, sie wird auf jeden Fall an den eigenen NTP-Server umgeleitet. Und das fehlt mir bei Deiner Regel: ich blicks noch nicht so ganz. Ich komme aber leider erst am Wochenende dazu, das mal ausführlicher zu testen...

Viele Grüße,
Matthias

Hellfire
Posts: 580
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 16th, 2019, 8:17 pm

Ja, eine Ziel Adresse würde ich bei genauerer Betrachtung auch erwarten, nur hier im Blog Beitrag https://blog.ipfire.org/post/use-ipfire ... dnschanger wurde ja auch keine verwendet und so wie meine DNS Test gelaufen sind, funktioniert aber.

Ich habe den Eindruck dieses CUSTOMPREROUTING weiß was es wie machen muss.

Michael
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 934
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 17th, 2019, 5:59 pm

Ahmt,

Ich habe Zeit gefunden, um Deine Regel mal zu testen (...man beachte das Wortspiel...), das Ergebnis sieht gut aus. Das ist eins unserer Smartphones während der Abfrage:

Image


Traffic wird auch angezeigt:

Image

Das Logging werde ich am Wochenende hoffentlich mal angehen können.

Viele Grüße,
Matthias

Hellfire
Posts: 580
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 18th, 2019, 11:59 am

Sieht ja schon Mal gut aus!

Bei mir konnten die Clients offensichtlich einen Zeitserver erreichen. Das Loggen über eine zusätzliche Firewall-Regel im WebIF scheint m.E. aber nicht möglich zu sein, da möglicherweise die Customer-Regel vorher ausgeführt wird.

Hmm, wenn ich aber so recht überlege, dann sind die FW-Regeln im WebIF aber auch nichts anderes als IPTable-Regeln, genau wie die Custom-Regel. Somit müsste man ja auch diese Regel dazu bringen können irgendwie ins Log zu schreiben....

Mal Mal schauen, wie sich die geloggten Regel des WebIF in IPTables auswirken...

Michael
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 934
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 18th, 2019, 12:49 pm

Hellfire wrote:Mal schauen, wie sich die geloggten Regel des WebIF in IPTables auswirken...
Genau das wollte ich am Wochenende mal angehen... ;)

Gruß,
Matthias

Hellfire
Posts: 580
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 18th, 2019, 5:40 pm

Sowas wie

Code: Select all

iptables -t nat -A CUSTOMPREROUTING ! -o orange0 -p udp --destination-port 123 -j REDIRECT --to-ports 123 LOG --log-prefix "TEST
,man beachte das LOG am Ende, funktioniert schon Mal nicht.

Lt. diversen Artikeln im www sollte dies aber gehen, ich mach jetzt Schluß und übergebe dir das Ruder...
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 934
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 20th, 2019, 9:47 am

Hi,

warum die REDIRECT-Regel funktioniert, habe ich rausbekommen: man muss nur die 'iptables'-Manuals genauer lesen (die Hervorhebung ist von mir). Es ist allerdings auch nicht einfach, sich da durchzuhangeln: ;)
REDIRECT

This target is only valid in the nat table, in the PREROUTING and OUTPUT chains, and user-defined chains which are only called from those chains. It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the 127.0.0.1 address).
--to-ports port[-port]
This specifies a destination port or range of ports to use: without this, the destination port is never altered. This is only valid if the rule also specifies -p tcp or -p udp.
...
Wieder was dazugelernt - hätte ich auch früher drauf kommen können. Mir ist es im Übrigen nicht gelungen, eine derartige REDIRECT-Regel per FW-GUI einzugeben. REDIRECT ist anscheinend nicht vorgesehen. Feature?

Das Logging dieser einen spezifischen Regel (z.B. in die 'messages') habe ich leider bisher nicht ans Laufen bekommen. Aber wenigstens funktioniert sie und erfüllt ihren Zweck. Wenn ein Mitlesender eine Idee/Lösung weiß, bitte ich um Beteiligung. Falls ich was rauskriege, melde ich mich.

Falls der OP noch mitliest, möge er diese Regel bitte auch mal testen und rückmelden. Falls sie "abgesegnet" wird, wäre sie zusammen mit der "DNAT"-DNS-Regel vielleicht was fürs Wiki.

Schönes WE!

Matthias

Hellfire
Posts: 580
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 20th, 2019, 4:15 pm

Danke dir für die Rückmeldung und noch ein schönes Rest-WE!

Michael
Image

Post Reply