El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 28-02-2022 17:29:52

javierbu
Usuario

Registrado: 09-08-2018
Mensajes: 144

iptables -t nat -f >> bomba nuclear

Hola gente.

Hace mucho que no me pasaba por aquí. Un placer volver a leeros y encomendarme a vuestra sabiduría.

Resulta que estoy resucitando scripts de hace 4 ó 5 años y como era previsible, todo ha cambiado y nada funciona. Cosas de la versionitis.

La cosa es que haciendo mis pruebas, están pasando cosas que no llego a comprender  y quisiera hacerlo. Ahí el tema:

Tengo una raspberry y una compu con la que estoy conectado a ella por ssh en 192.268.5.0/24 (la red de mi casa)
Levanto un acces point en la raspberry con create_ap en modo nat y todo funciona perfectamente.
Ahora le hago un iptables -F y  iptables -t nat -F
para quitarle las normas que le da create_ap y aplicar las que yo quiero, y es como si lanzara una bomba nuclear al protocolo ipv4 en mi red. Me crashea hasta reinicio de router.


Alguien tiene una idea de porqué??

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 01-03-2022 16:21:32

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 895

Re: iptables -t nat -f >> bomba nuclear

Hola


Para probar varias cosas suelo usar berate_ap que es basado en create_ap tambien.No tengo raspberry pero has intentado los commandos iptables completo sin acortar ? en ve de "-F" o "-t nat -F" intenta los entrar los commandos completos, para limpiar todo bien se puede hacer asi:


sysctl net.ipv4.ip_forward=1 # para estar seguro que el NAT esta bien activado
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

Levanto un acces point en la raspberry con create_ap en modo nat y todo funciona perfectamente.


Qué typo de reglas NAT estas usando y que quierès hacer exactamente con el acces point del raspberry despuès de limpiar las normas de create_ap ?


Si todo va bien, create_ap pone los ficheros de configuracion del AP en la carpeta /tmp, sera bueno de ver lo que pasa por ahi.


y es como si lanzara una bomba nuclear al protocolo ipv4 en mi red. Me crashea hasta reinicio de router.



La verdad es que algunas veces andar con iptables puede volverse loco big_smile

Ultima edición por Koala (01-03-2022 16:30:08)


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--DFlinux

Desconectado

#3 01-03-2022 21:02:27

javierbu
Usuario

Registrado: 09-08-2018
Mensajes: 144

Re: iptables -t nat -f >> bomba nuclear

Hola Koala.

Muchas gracias por tu recomendación sobre berate_ap. Create_ap en modo NAT y según qué dispositivos/versiones me da problemas con dnsmasq y lo tengo que configurar por otro lado. A ver si berate_ap me soluciona estos problemillas. Además he visto que trae --mana y --mana-loud, que no me viene nada mal.

koala escribió:

Qué typo de reglas NAT estas usando y que quierès hacer exactamente con el acces point del raspberry despuès de limpiar las normas de create_ap ?

Estoy portando algunos scripts viejos. Entre ellos uno que tenía para redirigir todo el tráfico de mi AP a la red tor.
No tengo definidas las reglas todavía, no he llegado a ello.
Lo que me tiene muy impresionado es que solo con hacer in iptables -t nat -F me tire la red de mi casa, que esta aguas arriba de la subnet a la que estoy flusheado las reglas.

koala escribió:

La verdad es que algunas veces andar con iptables puede volverse loco

Coincido!

Desconectado

#4 02-03-2022 20:40:52

javierbu
Usuario

Registrado: 09-08-2018
Mensajes: 144

Re: iptables -t nat -f >> bomba nuclear

Ya tengo definidas las reglas de iptables.
Al final he optado por retocar el script de berate_ap para que no ponga reglas a iptables y así poder ponerlas a mano sin que me pete la red al flushearlas, cosa que me sigue intrigando sobremanera.
Estoy asombrado de lo sencillo que me ha resultado. No creo que sean las definitivas por su sencillez. Son estas:

# Generated by iptables-save v1.8.7 on Wed Mar  2 19:27:30 2022
*filter
:INPUT ACCEPT [17913:10860139]
:FORWARD ACCEPT [171182:149310110]
:OUTPUT ACCEPT [13156:7944470]
COMMIT
# Completed on Wed Mar  2 19:27:30 2022
# Generated by iptables-save v1.8.7 on Wed Mar  2 19:27:30 2022
*nat
:PREROUTING ACCEPT [81:15012]
:INPUT ACCEPT [104:6425]
:OUTPUT ACCEPT [5:316]
:POSTROUTING ACCEPT [5:316]
-A PREROUTING -i ap0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040
-A POSTROUTING -s 192.168.12.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Mar  2 19:27:30 2022

con los siguientes comandos:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.12.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i ap0 -p tcp --syn -j REDIRECT --to-ports 9040

La primera para dar internet a la subnet y la segunda para redirigirlo todo a tor.

Ahora, haciendo pruebas y más pruebas, me surge una duda. Porqué berate_ap y su pariente cretate_ap inician dnsmasq en el puerto 5353?
Para el caso de éxito estoy lanzando dnsmasq a mano por el 53 y con la opción --no-dnsmasq de berate_ap . De otra manera tendría que añadir otra regla en iptables para redirigir el tráfico por el 53 de lso clientes, al 5353 de mi gateway (raspberry).

Desconectado

#5 03-03-2022 17:01:54

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 895

Re: iptables -t nat -f >> bomba nuclear

Ahora, haciendo pruebas y más pruebas, me surge una duda. Porqué berate_ap y su pariente cretate_ap inician dnsmasq en el puerto 5353?



Mmmh... buena pregunta no sé que décir te... normalmente el puerto 5353(MDNS: multicast dns) es usado por una red en local y es el puerto que usa Apple tambien para sus dispositivos o aplicacionès... quisas es solamente la configuracion por defecto de berate_ap perimite eso.Ojo aqui, con el 5353, puede dar problemos de seguridad si alguièn descubre que es abierto.

Ultima edición por Koala (03-03-2022 17:13:36)


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--DFlinux

Desconectado

#6 03-03-2022 18:36:50

javierbu
Usuario

Registrado: 09-08-2018
Mensajes: 144

Re: iptables -t nat -f >> bomba nuclear

A fin de cuentas, respecto a la seguridad, no debería ser más inseguro que el 53 de toda la vida.
Al fin y al cabo es un servidor DNS y escuche por el 53 o 5353, entiendo que es indiferente respecto a la inseguridad. Si este servidor es inseguro por el 5353, lo será igual por el 53.

Supongo que create_ap y familia ponen a la escucha el servidor DNS por el 5353 por si tienes algún otro servidor DNS ya escuchando en el 53. No se me ocurre ningún otro motivo.

Desconectado

#7 03-03-2022 19:42:26

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 895

Re: iptables -t nat -f >> bomba nuclear

Supongo que create_ap y familia ponen a la escucha el servidor DNS por el 5353 por si tienes algún otro servidor DNS ya escuchando en el 53. No se me ocurre ningún otro motivo.

Si puede ser smile


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--DFlinux

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: maxi
Usuarios registrados conectados: 0
Invitados conectados: 14

Estadisticas de los foros

Número total de usuarios registrados: 2,319
Número total de temas: 1,588
Número total de mensajes: 15,144

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36