SSLH: Transparent Proxy, правила iptables, ip

Nebulosa	# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)
Темы: 10 Сообщения: 830 Участник с: 05 марта 2009	Продолжаю настраивать vds, столкнулся с небольшой проблемой. Установлен и настроен sslh всё работает, но программы не видят внешний IP соединений. Например: `➤[Connected 23 Feb 2020, 09:11:18] Last login: Sun Feb 23 08:13:05 2020 from 127.0.0.1 [[email protected] ~]$` В документации есть инструкция, необходимо применить следующие правила (сразу пишу с поправкой на свои реалии): `sudo iptables -t mangle -N SSLH sudo iptables -t mangle -A OUTPUT --protocol tcp --out-interface ens3 --sport 22 --jump SSLH sudo iptables -t mangle -A OUTPUT --protocol tcp --out-interface ens3 --sport 443 --jump SSLH sudo iptables -t mangle -A SSLH --jump MARK --set-mark 0x1 sudo iptables -t mangle -A SSLH --jump ACCEPT sudo ip rule add fwmark 0x1 lookup 100 sudo ip route add local 0.0.0.0/0 dev lo table 100` После применения последней команды - сервер перестаёт принимать соединения. Подозреваю, что нужно как-то поменять ранг таблицы или прописать как-то ип, но для меня маршрутизация - это тёмный лес, прошу вашей помощи. Перед всеми действиями конфигурация сервера такая: `$ ip rule list 0: from all lookup local 32766: from all lookup main 32767: from all lookup default` $sudo iptables-save nat :PREROUTING ACCEPT [8076:453873] :INPUT ACCEPT [705:37884] :OUTPUT ACCEPT [842:52367] :POSTROUTING ACCEPT [176:9152] -A POSTROUTING -o ens3 -j MASQUERADE COMMIT filter :INPUT DROP [7241:407167] :FORWARD ACCEPT [44705:57871270] :OUTPUT ACCEPT [288283:318921775] -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8388 -j ACCEPT -A INPUT -p udp -m udp --dport 3963 -j ACCEPT -A INPUT -p udp -m udp --dport 8388 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i wg0 -j ACCEPT COMMIT $ ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq state UP group default qlen 1000 link/ether 52:54:00:02:48:4a brd ff:ff:ff:ff:ff:ff inet <my_IP_is_here>/24 brd <IP_gate_is_here> scope global ens3 valid_lft forever preferred_lft forever inet6 fe80::5054:ff:fe02:484a/64 scope link valid_lft forever preferred_lft forever 3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq state UNKNOWN group default qlen 100 link/none inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0 valid_lft forever preferred_lft forever inet6 fe80::be2c:6fd5:223b:842e/64 scope link stable-privacy valid_lft forever preferred_lft forever 4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000 link/none inet 10.66.66.1/24 scope global wg0 valid_lft forever preferred_lft forever inet6 fd42:42:42::1/64 scope global valid_lft forever preferred_lft forever

# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)

Сообщения: 830

Участник с: 05 марта 2009

Продолжаю настраивать vds, столкнулся с небольшой проблемой.

Установлен и настроен sslh всё работает, но программы не видят внешний IP соединений.

Например:

➤[Connected 23 Feb 2020, 09:11:18]
Last login: Sun Feb 23 08:13:05 2020 from 127.0.0.1
[[email protected] ~]$

В документации есть инструкция, необходимо применить следующие правила (сразу пишу с поправкой на свои реалии):

sudo iptables -t mangle -N SSLH
sudo iptables -t mangle -A  OUTPUT --protocol tcp --out-interface ens3 --sport 22 --jump SSLH
sudo iptables -t mangle -A OUTPUT --protocol tcp --out-interface ens3 --sport 443 --jump SSLH
sudo iptables -t mangle -A SSLH --jump MARK --set-mark 0x1
sudo iptables -t mangle -A SSLH --jump ACCEPT
sudo ip rule add fwmark 0x1 lookup 100
sudo ip route add local 0.0.0.0/0 dev lo table 100

После применения последней команды - сервер перестаёт принимать соединения.
Подозреваю, что нужно как-то поменять ранг таблицы или прописать как-то ип, но для меня маршрутизация - это тёмный лес, прошу вашей помощи.

Перед всеми действиями конфигурация сервера такая:

$ ip rule list
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

$sudo iptables-save
*nat
:PREROUTING ACCEPT [8076:453873]
:INPUT ACCEPT [705:37884]
:OUTPUT ACCEPT [842:52367]
:POSTROUTING ACCEPT [176:9152]
-A POSTROUTING -o ens3 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [7241:407167]
:FORWARD ACCEPT [44705:57871270]
:OUTPUT ACCEPT [288283:318921775]
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8388 -j ACCEPT
-A INPUT -p udp -m udp --dport 3963 -j ACCEPT
-A INPUT -p udp -m udp --dport 8388 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
COMMIT


$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq state UP group default qlen 1000
    link/ether 52:54:00:02:48:4a brd ff:ff:ff:ff:ff:ff
    inet <my_IP_is_here>/24 brd <IP_gate_is_here> scope global ens3
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe02:484a/64 scope link
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::be2c:6fd5:223b:842e/64 scope link stable-privacy
       valid_lft forever preferred_lft forever
4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.66.66.1/24 scope global wg0
       valid_lft forever preferred_lft forever
    inet6 fd42:42:42::1/64 scope global
       valid_lft forever preferred_lft forever

indeviral	# 2 года, 6 месяцев назад
Темы: 38 Сообщения: 3167 Участник с: 10 августа 2013	Nebulosa сервер перестаёт принимать соединения По ssh не подключается? Ошибки в тексте-неповторимый стиль автора©

Nebulosa	# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)
Темы: 10 Сообщения: 830 Участник с: 05 марта 2009	Не подключается к порту 443, за которым спрятано несколько сервисов. К порту 80, например, подключение идёт, всё ок.

indeviral	# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)
Темы: 38 Сообщения: 3167 Участник с: 10 августа 2013	Nebulosa ну так всё правильно, вы просто не читали буквы?) The firewalling tables also need to be adjusted as follow. The example connects to HTTPS on 4443 – adapt to your needs ; I don’t think it is possible to have httpd listen to 443 in this scheme – let me know if you manage that: Note that these rules will prevent from connecting directly to ssh on the port 22, as packets coming out of sshd will be tagged. If you need to retain direct access to ssh on port 22 as well as through sslh, you can make sshd listen to 22 AND another port (e.g. 2222), and change the above rules accordingly. Ошибки в тексте-неповторимый стиль автора©

indeviral

# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)

Темы: 38

Сообщения: 3167

Участник с: 10 августа 2013

Nebulosa
ну так всё правильно, вы просто не читали буквы?)

The firewalling tables also need to be adjusted as follow. The example connects to HTTPS on 4443 – adapt to your needs ; I don’t think it is possible to have httpd listen to 443 in this scheme – let me know if you manage that:

Note that these rules will prevent from connecting directly to ssh on the port 22, as packets coming out of sshd will be tagged. If you need to retain direct access to ssh on port 22 as well as through sslh, you can make sshd listen to 22 AND another port (e.g. 2222), and change the above rules accordingly.

Ошибки в тексте-неповторимый стиль автора©

Nebulosa	# 2 года, 6 месяцев назад
Темы: 10 Сообщения: 830 Участник с: 05 марта 2009	То ли лыжи не едут... (с) Текст перевёл через переводчик еще раз, может я что-то упустил, но нет, вроде всё как и прочитал с первого раза.. Еще, раз. У меня SSH доступен через порт 443. Через этот же порт работает openvpn. Все стандартные порты этих сервисов закрыты, открыт только 443. Всё работает, только сервисы видят соединение как внутреннее. Применяю правила по инструкции (указывая при этом ens3 и порт 443), порт 443 перестаёт отвечать - SSH не соединяется, openvpn не работает. Что я пропустил?..

Nebulosa

# 2 года, 6 месяцев назад

Темы: 10

Сообщения: 830

Участник с: 05 марта 2009

То ли лыжи не едут... (с)

Текст перевёл через переводчик еще раз, может я что-то упустил, но нет, вроде всё как и прочитал с первого раза..

Еще, раз. У меня SSH доступен через порт 443. Через этот же порт работает openvpn. Все стандартные порты этих сервисов закрыты, открыт только 443. Всё работает, только сервисы видят соединение как внутреннее.

Применяю правила по инструкции (указывая при этом ens3 и порт 443), порт 443 перестаёт отвечать - SSH не соединяется, openvpn не работает.

Что я пропустил?..

indeviral	# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)
Темы: 38 Сообщения: 3167 Участник с: 10 августа 2013	Nebulosa У меня SSH доступен через порт 443 бывает... p.s. если вы хотите поизвращаться то более правильно взять взять домен, организовать десяток поддоменов на все случаи. и организовать реверсивное proxy на nginx(ну или apache наверно тоже можно...) на разных поддоменнах. можно даже локальные порты не занимать если использовать сокеты ещё красивее получится) p.p.s. хотя с точки зрения стабильности, если ляжет nginx ляжет всё, но для вас это не критично... p.p.p.s. секундочку, а смысл от sslh если у вас и так всё на одном порту весит?)) это вы наверно по умолчанию зачем-то в ssh указали 443, а в openvpn можно вроде указывать конструкцию что бы он был с чем-то на одном порту. Ошибки в тексте-неповторимый стиль автора©

indeviral

# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)

Темы: 38

Сообщения: 3167

Участник с: 10 августа 2013

Nebulosa
У меня SSH доступен через порт 443

бывает...

p.s. если вы хотите поизвращаться то более правильно взять взять домен, организовать десяток поддоменов на все случаи.
и организовать реверсивное proxy на nginx(ну или apache наверно тоже можно...) на разных поддоменнах.
можно даже локальные порты не занимать если использовать сокеты ещё красивее получится)

p.p.s. хотя с точки зрения стабильности, если ляжет nginx ляжет всё, но для вас это не критично...

p.p.p.s. секундочку, а смысл от sslh если у вас и так всё на одном порту весит?))
это вы наверно по умолчанию зачем-то в ssh указали 443, а в openvpn можно вроде указывать конструкцию что бы он был с чем-то на одном порту.

Ошибки в тексте-неповторимый стиль автора©

Nebulosa	# 2 года, 6 месяцев назад
Темы: 10 Сообщения: 830 Участник с: 05 марта 2009	Подожду ещё ответы на, вроде бы, конкретный вопрос...

Nebulosa	# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)
Темы: 10 Сообщения: 830 Участник с: 05 марта 2009	indeviral p.p.p.s. секундочку, а смысл от sslh если у вас и так всё на одном порту весит?)) это вы наверно по умолчанию зачем-то в ssh указали 443, а в openvpn можно вроде указывать конструкцию что бы он был с чем-то на одном порту. У меня там не только ssh и openvpn. 4 сервиса. Почему вообще sslh - данная конфигурация свела на нет брутфорсы. Ранее штатно работал sshguard, но правила iptables и логи росли в арифметической прогрессии. После 4500 permban ip за набранных всего за пару месяцев установил это решение. Ну и плюс удобно прятать сервисы, если вы понимаете о чём я.

Nebulosa

# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)

Темы: 10

Сообщения: 830

Участник с: 05 марта 2009

indeviral
p.p.p.s. секундочку, а смысл от sslh если у вас и так всё на одном порту весит?))
это вы наверно по умолчанию зачем-то в ssh указали 443, а в openvpn можно вроде указывать конструкцию что бы он был с чем-то на одном порту.

У меня там не только ssh и openvpn. 4 сервиса.

Почему вообще sslh - данная конфигурация свела на нет брутфорсы. Ранее штатно работал sshguard, но правила iptables и логи росли в арифметической прогрессии. После 4500 permban ip за набранных всего за пару месяцев установил это решение. Ну и плюс удобно прятать сервисы, если вы понимаете о чём я.

indeviral	# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)
Темы: 38 Сообщения: 3167 Участник с: 10 августа 2013	Nebulosa Подожду ещё ответы на, вроде бы, конкретный вопрос… Так я же вам написал ответ? Какой вам ещё нужен? Нужен другой порт для sslh либо для ssh(в вашем случаи), ну и отдельный порт для openvpn. ссылка, может так понятнее? Ошибки в тексте-неповторимый стиль автора©

indeviral

# 2 года, 6 месяцев назад (отредактировано 2 года, 6 месяцев назад)

Темы: 38

Сообщения: 3167

Участник с: 10 августа 2013

Nebulosa
Подожду ещё ответы на, вроде бы, конкретный вопрос…

Так я же вам написал ответ? Какой вам ещё нужен?
Нужен другой порт для sslh либо для ssh(в вашем случаи), ну и отдельный порт для openvpn.
ссылка, может так понятнее?

Nebulosa	# 2 года, 6 месяцев назад
Темы: 10 Сообщения: 830 Участник с: 05 марта 2009	В общем, помедитировал ещё раз над всеми инструкциями, но ситуация не поменялась. Понял, что проблема была в правиле: `sudo iptables -t mangle -A OUTPUT --protocol tcp --out-interface ens3 --sport 443 --jump SSLH` Насколько я понял, если есть несколько сервисов, то тут нужно прописать порты их всех, т.е, для SSH и Openvpn надо прописать: `sudo iptables -t mangle -A OUTPUT --protocol tcp --out-interface ens3 --sport 22 --jump SSLH sudo iptables -t mangle -A OUTPUT --protocol tcp --out-interface ens3 --sport 1194 --jump SSLH` Но всё равно не помогло (остальные правила тоже прописал). indeviral Так я же вам написал ответ? Какой вам ещё нужен? Нужен другой порт для sslh либо для ssh(в вашем случаи), ну и отдельный порт для openvpn. Продолжаю продолжать... Все сервисы занимают свои порты (ssh - 22, openvpn 1194 и пр). Эти порты извне закрыты, наружу торчит только 443 (sslh) который уже работает с запросами. Всё настроено, всё работает, за исключением того, что все подключения (ip) сервисы видят как внутренние. indeviral ссылка, может так понятнее? Схема хорошая, только у меня один хост, без роутера, sslh висит на 443 порту. Мне не нужен tsl доступ к серверу, так что у меня нет конфликта за порт 443. Моя схема в три раза проще, одинаковое лишь то, что каждый сервис на своём порту висит.

Nebulosa

# 2 года, 6 месяцев назад

Темы: 10

Сообщения: 830

Участник с: 05 марта 2009

В общем, помедитировал ещё раз над всеми инструкциями, но ситуация не поменялась.

Понял, что проблема была в правиле:

sudo iptables -t mangle -A OUTPUT --protocol tcp --out-interface ens3 --sport 443 --jump SSLH

Насколько я понял, если есть несколько сервисов, то тут нужно прописать порты их всех, т.е, для SSH и Openvpn надо прописать:

sudo iptables -t mangle -A  OUTPUT --protocol tcp --out-interface ens3 --sport 22 --jump SSLH
sudo iptables -t mangle -A  OUTPUT --protocol tcp --out-interface ens3 --sport 1194 --jump SSLH

Но всё равно не помогло (остальные правила тоже прописал).

indeviral
Так я же вам написал ответ? Какой вам ещё нужен?
Нужен другой порт для sslh либо для ssh(в вашем случаи), ну и отдельный порт для openvpn.

Продолжаю продолжать... Все сервисы занимают свои порты (ssh - 22, openvpn 1194 и пр). Эти порты извне закрыты, наружу торчит только 443 (sslh) который уже работает с запросами. Всё настроено, всё работает, за исключением того, что все подключения (ip) сервисы видят как внутренние.

indeviral
ссылка, может так понятнее?

Схема хорошая, только у меня один хост, без роутера, sslh висит на 443 порту. Мне не нужен tsl доступ к серверу, так что у меня нет конфликта за порт 443. Моя схема в три раза проще, одинаковое лишь то, что каждый сервис на своём порту висит.