NAT 1:1 bez použitia connection tracking

ekrajnak

Ahojte,

neskúšal niekto z vás spraviť na Linuxe NAT 1:1 (src aj dst) bez toho, aby využíval conntrack tabuľku? Jednoducho NAT sa spraví niekde na priorite okolo -400 (pred conntrackom) a následne sa všetky pakety označia ako notrack.

Vďaka
Blažej

jenya

ekrajnak Ahojte,

neskúšal niekto z vás spraviť na Linuxe NAT 1:1 (src aj dst) bez toho, aby využíval conntrack tabuľku? Jednoducho NAT sa spraví niekde na priorite okolo -400 (pred conntrackom) a následne sa všetky pakety označia ako notrack.

Možná se ptám blbě, ale šlo by to i v RouterOS?

pgb

table ip nat {
	chain prerouting {
		type filter hook prerouting priority raw; policy accept;
		ip daddr 213.10.1.1 ip daddr set 10.1.1.2 notrack counter
		ip saddr 10.1.1.2 ip saddr set 213.10.1.1 notrack counter
	}
}

Má to i nějaký nevýhody - nepodporuje to nftables mapy například, takže to je pravidlo po pravidlu (dost naprd). Záleží na tom kolik tam má být těch pravidel. Další možností pokud ten router má jen dvě rozhraní je použít TC, které tam ty mapy má, ale je to čisté utrpení dělat v tom rekonfiguraci.

U nás to funguje tak, že tenhle systém dožívá (s použitím nft map - dvě pravidla, ale +conntrack 🙂 ), je nahrazovaný routovanou ip adresou a v kombinaci s policy base routingem nás to stojí jen jednu /32.

edit: na tom příkladu to máte dost zjednodušené, protože to je raw a jde tam všechno, tak třeba první optimalizaci jde udělat už podle mapy na src/dst adresu - to co jsem říkal že nepodporuje podle mapy je ta vlastní změna 1:1

ekrajnak

Diki za tip. Mne ide o uchranenie tej NAT masiny od SYN flood utokov. Akurat tak rozmyslam, ze ako sa bude spravat taky SIP protokol, ak mu tam nebude fungovat helper - asi sa to rozbije. Ale v pripade FTP by to fungovat malo, nie?
Musim si najst cas a odlabovat to 🙂

pgb

ekrajnak Tady výtah z toho jak to mám nastaveno na DNS, trochu ořezané, ale pro náhled stačí

table inet filter {
    chain input {
        type filter hook input priority filter; policy drop;
        meta l4proto {tcp, udp} th dport 53 accept # dotazy od zakazniku
        meta l4proto {tcp, udp} th sport 53 accept # odpovedi z upstreamu
        ct state established,related accept
        iifname "lo" accept
        icmp type echo-request accept
        udp dport 33434-33524 reject
    }

    chain preroutingRaw {
        type filter hook prerouting priority raw; policy accept;
        meta l4proto {tcp, udp} th dport 53 notrack # dotazy od zakazniku
        meta l4proto {tcp, udp} th sport 53 notrack # odpovedi z upstreamu
    }

    chain outputRaw {
        type filter hook output priority raw; policy accept;
        meta l4proto {tcp, udp} th sport 53 notrack # odpovedi zakaznikum
        meta l4proto {tcp, udp} th dport 53 notrack # dotazy na upstream
    }
}

pgb

Sip helper na hlavní bráně s více NAT1:1 máme vypnutý, nikdy nebyl potřeba.

zdeneksvarc

Kluci jen ze zvedavosti, jak by fungoval NAT 1:n bez conntracku pro UDP?

ekrajnak

zdeneksvarc Ak to mame chapat, ze jedna verejna IP sa bude smerovat na rozne vnutorne podla rozsahu portov, to by fungovalo korektne (pri pristupe na verejnu IP).
Ale ako nahle by som chcel NATovat N vnutornych za tu jednu verejnu (N:1) tak tam uz vznika overloading rozsahu portov, takze to by neslo bez stavovej tabulky.

pgb

jenya MikroTik nemá v tuhle chvíli dostupný přepis saddr/daddr v raw tabulce, takže ne.

Hledal jsem a nenašel jsem způsob jak toho docílit na iptables (na kterém MK staví/stavěl, kdo ví kdy přejdou na nftables - je to hodně velká změna)