LSSR en paquetes salientes con iptables

Iniciado por desikoder, 17 Julio 2014, 12:59 PM

0 Miembros y 2 Visitantes están viendo este tema.

desikoder

Hola !.

Estoy pensando en montar un servidor de proxy basado en el NAT. Mi idea es tener alguna maquina remota controlada , la cual voy a configurar de manera que los paquetes provenientes de ciertas IP's sean enmascarados mediante un Source NAT , y la idea es que el host cliente de este proxy casero configure su iptables de tal manera que todos los paquetes que salgan se establezcan con la opcion LSSR ( creo que significa lesser strict source routing ) , de forma que pasen por la maquina que hace de proxy ( que no está en la misma red , por eso tengo que cambiar las rutas ) , y esta ya las enmascare.

Me explico un poco mejor ... :

HOST |
HOST | --- ROUTER CONTROLADO --- INTERNET -- IP VISITADA DESDE PROXY
HOST |                                                   |
                                                            |
                                                    MI ORDENADOR

La idea es que mi ordenador utilize a "router controlado como proxy" configurando el iptables de mi ordenador para que envie todos los paquetes salientes modificados con la opcion LSSR para que pasen necesariamente por "router controlado" , y este ultimo esté configurado para que al recibir paquetes de "mi ordenador" haga nat enmascarando la IP con la suya propia y los enrute hacia su destino "ip visitada desde proxy" , y ya el resto va solo , porque el propio nat del iptables al recibir las respuestas las reenviará a quien hizo la petición ...

EN RESUMEN :

¿ Como se configura iptables para que modifique los paquetes salientes ( iptables -A OUTPUT ... ) añadiendoles la opción LSSR con una cierta IP ?

Gracias y saludos !!
Solucion a CUALQUIER problema que tengas en PC's con windows :

Instalar GNU / linux

cpu2

Por lo que entendi, quieres que ciertas conexiones que salgan de tu maquina se redireccionen a "router controlado" no? Y que despues este las mande a "Ip vista desde proxy" no?

Para cambiar las direcciones de destino que salen de tu maquina con iptables tienes que usar la cadena PREROUTING, no OUTPUT.

Construir una regla para esa funcion es muy sencillo, a demas tienes mil ejemplos e la red.

¿¿LSSR??

Un saludo.

desikoder

Gracias por responder , aunque no me refiero exactamente a eso. La idea NO es cambiar la direccion de destino , simplemente hacer un NAT en el proxy , evidentemente como la direccion de destino no cambia y la maquina que hace el NAT y mi ordenador estan lejos en la red , el paquete normalmente seria enrutado de forma normal , es decir , si yo me conecto por ejemplo a duckduckgo.com ( una vez resuelto el dns , evidentemente ) , los routers que hay entre medias al ver la IP destino lo enrutan , y da lo mismo que yo en algun rincon perdido de internet tenga un proxy porque no estoy pasando por el. La idea es modificar las tablas de iptables para que agregen a los paquetes salientes la opcion LSSR ( Lesser Strict Source Routing ) , es un opcion del protocolo IP en la cual se especifica que el paquete al enrutarse debe pasar necesariamente por el host que se especifique , eso no significa que sea el destino. El motivo por el cual el host visitado desde el proxy no va a ver mi ip real , es porque el proxy la está enmascarando. Ya tengo todo pensado , la pregunta , aunque parezca larga , se reduce a :

¿ Como hacer que todos los paquetes IP salientes tengan la opcion LSSR activada a cierta IP ?.

Eso en el cliente , porque en el servidor proxy ya lo tengo todo pensado ...

Saludos !
Solucion a CUALQUIER problema que tengas en PC's con windows :

Instalar GNU / linux

cpu2

Antes de continuar, me gustaria saber de donde sacaste eso de "LSSR", no quieres decir "LSR" (Label Switching Router), todo eso lo leo en MPLS header, no hay nada de "LSSR".

Pasame el documento, donde esta todo eso detallado.

Un saludo.

desikoder

Oops , he metido la gamba , es LSR ( Loose Source Routing ) , segun wikipedia ( con este horroroso calor que hace aqui en Madrid no puedo ni buscar el LSR entre el RFC de IP , asi que de momento te dejo la wikipedia http://en.wikipedia.org/wiki/Loose_Source_Routing

Saludos !
Solucion a CUALQUIER problema que tengas en PC's con windows :

Instalar GNU / linux

cpu2

Tienes el kernel parcheado para soportar MPLS?

Aqui tienes informacion de interes, por lo que veo necesitas paquetes con soporte MPLS y el kernel parcheado claro esta.

Mira este sobretodo:

http://www.sj.ifsc.edu.br/~msobral/RCO2/docs/mpls-linux/1-3-installation.html

Parche kernel:

http://sourceforge.net/projects/mpls-linux/


Por lo que ves se complico la cosa...

Un saludo.