IP pubblici e Nat

da **iz3spv** » lun 25 mag 2020, 12:47

Ciao a tutti, è da un po che non mi faccio vivo, ma sarà l'età o altro ma non mi capacito più di una cosa che sta succedendo nella mia RB principale dove a casa raccolgo il traffico MX e lo inoltro al server di posta.

Succede che ho per una serie di motivi di sicurezza inserito la regola del fail2ban sul server di posta dove che ogni volta qualcuno tenta di accedere alla porta 25/110/143/587, l'ip di provenienza se dopo il LogOn fallisce, dopo 4 tentativi blocca l'IP per 15 minuti..

Semplice direte voi no ?
Anche io fino a poco tempo fa..

Ora dopo un aggiornamento della RB1100x4 all'ultimo firmware, mi ritrovo che tutti gli IP provenienti da fuori vengono mappati con l'IP interno del router.
Spiegando per bene:

Se prima arrivava al server l'IP di provenienza 151.x.x.x relativo al provider in cui tentava di fare autenticazione al server, il server nel log leggeva 151.x.x.x

Ora il server di posta legge tutti gli IP di provenienza e li mappa 192.168.10.150 (ip del router), quindi qualsiasi provi ad accedere al server quell'IP viene perennemente bannato perchè non è quello proveniente pubblico, quindi non riesce più neanche farmi il reverse DNS poichè al contrario si ritrova 192.168.10.150 piuttosto che l'IP pubblico.

Vi è mai capitato ?
Come si risolve ?

Allego copia di un pezzo del log.

"DEBUG" 3548 "2020-05-25 00:04:15.577" "GreyListCleanerTask::DoWork()"
"DEBUG" 3664 "2020-05-25 00:51:23.373" "Creating session 65"
"TCPIP" 3664 "2020-05-25 00:51:23.388" "TCP - 192.168.10.150 connected to 192.168.10.25:587."
"DEBUG" 3664 "2020-05-25 00:51:23.388" "TCP connection started for session 63"
"SMTPD" 3664 63 "2020-05-25 00:51:23.388" "192.168.10.150" "SENT: 220 IE2.local ESMTP"
"DEBUG" 3668 "2020-05-25 00:51:33.513" "The read operation failed. Bytes transferred: 0 Remote IP: 192.168.10.150, Session: 63, Code: 2, Message: End of file"
"DEBUG" 3668 "2020-05-25 00:51:33.513" "Ending session 63"
"DEBUG" 3548 "2020-05-25 04:04:34.456" "GreyListCleanerTask::DoWork()"
"DEBUG" 3664 "2020-05-25 05:47:11.109" "Creating session 66"
"TCPIP" 3664 "2020-05-25 05:47:11.109" "TCP - 192.168.10.150 connected to 192.168.10.25:587."
"DEBUG" 3664 "2020-05-25 05:47:11.109" "TCP connection started for session 65"
"SMTPD" 3664 65 "2020-05-25 05:47:11.109" "192.168.10.150" "SENT: 220 IE2.local ESMTP"
"DEBUG" 3708 "2020-05-25 05:47:11.125" "The read operation failed. Bytes transferred: 0 Remote IP: 192.168.10.150, Session: 65, Code: 2, Message: End of file"
"DEBUG" 3708 "2020-05-25 05:47:11.125" "Ending session 65"
"DEBUG" 3548 "2020-05-25 08:04:48.264" "GreyListCleanerTask::DoWork()"
"DEBUG" 3668 "2020-05-25 08:40:35.309" "Creating session 67"
"TCPIP" 3668 "2020-05-25 08:40:35.309" "TCP - 192.168.10.150 connected to 192.168.10.25:25."
"DEBUG" 3668 "2020-05-25 08:40:35.309" "TCP connection started for session 64"
"SMTPD" 3668 64 "2020-05-25 08:40:35.310" "192.168.10.150" "SENT: 220 IE2.local ESMTP"
"SMTPD" 3664 64 "2020-05-25 08:40:35.460" "192.168.10.150" "RECEIVED: EHLO 69-171-232-141.mail-mail.facebook.com"
"SMTPD" 3664 64 "2020-05-25 08:40:35.460" "192.168.10.150" "SENT: 250-IE2.local[nl]250-SIZE 20480000[nl]250-AUTH LOGIN[nl]250 HELP"
"SMTPD" 3708 64 "2020-05-25 08:40:35.624" "192.168.10.150" "RECEIVED: MAIL FROM:<notification@facebookmail.com> SIZE=35517"
"TCPIP" 3708 "2020-05-25 08:40:46.789" "DNS lookup: 192.168.10.150.zen.spamhaus.org, 0 addresses found: (none), Match: False"
"DEBUG" 3708 "2020-05-25 08:40:46.789" "Spam test: SpamTestDNSBlackLists, Score: 0"
"DEBUG" 3708 "2020-05-25 08:40:58.038" "Spam test: SpamTestHeloHost, Score: 2"
"DEBUG" 3708 "2020-05-25 08:41:01.515" "Spam test: SpamTestMXRecords, Score: 0"
"DEBUG" 3708 "2020-05-25 08:41:01.583" "Spam test: SpamTestSPF, Score: 3"
"DEBUG" 3708 "2020-05-25 08:41:01.583" "Total spam score: 5"
"SMTPD" 3708 64 "2020-05-25 08:41:01.584" "192.168.10.150" "SENT: 250 OK"
"SMTPD" 3664 64 "2020-05-25 08:41:01.724" "192.168.10.150" "RECEIVED: RCPT TO:<u.guidolin@iz3spv.it>"
"SMTPD" 3664 64 "2020-05-25 08:41:01.725" "192.168.10.150" "SENT: 250 OK"
"SMTPD" 3668 64 "2020-05-25 08:41:01.882" "192.168.10.150" "RECEIVED: DATA"
"SMTPD" 3668 64 "2020-05-25 08:41:01.882" "192.168.10.150" "SENT: 354 OK, send."
"DEBUG" 3708 "2020-05-25 08:41:03.096" "Could not retrieve PTR record for IP (false)! 192.168.10.150"

da **iz3spv** » mar 26 mag 2020, 8:27

Nessuno ha qualche idea ?

da **ppraz** » gio 28 mag 2020, 22:10

è evidente che fai source nat e i pacchetti diretti al MX arrivano sul server con quell'IP
verifica le entry IP -> NAT
cerca una src-nat

da **iz3spv** » gio 28 mag 2020, 22:28

a dire il vero sono tutte regole DST NAT.

add action=dst-nat chain=dstnat comment=IMAP dst-address=46.xx.xx.xx dst-port=143 in-interface=pppoe-out log=yes log-prefix=IMAP protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.10.25 to-ports=143

A quel punto dovrebbe trasferire l'IP di provenienza verso il server, non l'IP del router, il fatto è che prima di aggiornare il firmware funzionava bene, ora non più.

da **ppraz** » ven 29 mag 2020, 8:04

Concordo con te, dovrebbe trasferire il SRC address invariato.
Fai questo test, disattiva per 5 secondi circa il "connection tracking"
Questo fa cadere tutte le sessioni NATtate
Poi lo riabiliti e verifichi (con tcpdump sul server MX) se qualcosa adesso funziona

da **iz3spv** » ven 29 mag 2020, 8:41

Non è cambiato nulla.

da **ppraz** » sab 30 mag 2020, 18:49

Non ti risentire, ma insisto, hai una source nat su quella connessione.
Fai attenzione alle NAT "larghe" ossia quelle che includono una subnet molto ampia al loro interno
Fai così, esporta tutte le NAT, anonimizzale e postale qua

da **iz3spv** » mar 9 giu 2020, 9:24

ppraz ha scritto:Non ti risentire, ma insisto, hai una source nat su quella connessione.
Fai attenzione alle NAT "larghe" ossia quelle che includono una subnet molto ampia al loro interno
Fai così, esporta tutte le NAT, anonimizzale e postale qua

Provvedo

/ip firewall nat
add action=masquerade chain=srcnat comment="MASQUERADE NAT 0.0.0.0/0" out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=IAX2 dst-port=XXXX in-interface=pppoe-out1 protocol=udp to-addresses=192.168.10.XXX to-ports=XXXX
add action=dst-nat chain=dstnat comment="Voip VPN" dst-port=XXXX in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.10.XXX to-ports=XXXX
add action=dst-nat chain=dstnat comment=HTTP dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.10.XX to-ports=80
add action=dst-nat chain=dstnat dst-port=XXXX in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.10.XX to-ports=XXXX
add action=dst-nat chain=dstnat dst-port=XXXXX in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.10.XX to-ports=XXXXX
add action=dst-nat chain=dstnat dst-port=XXXXX in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.10.XX to-ports=XXXXX
add action=dst-nat chain=dstnat comment=SMTP dst-port=25 in-interface=pppoe-out1 log=yes log-prefix=SMTP protocol=tcp to-addresses=192.168.10.XX to-ports=25
add action=dst-nat chain=dstnat comment=IMAP dst-port=143 in-interface=pppoe-out1 log=yes log-prefix=IMAP protocol=tcp to-addresses=192.168.10.XX to-ports=143
add action=dst-nat chain=dstnat comment=SMTPS dst-port=465 in-interface=pppoe-out1 log=yes log-prefix=SMTPS protocol=tcp to-addresses=192.168.10.XX to-ports=465
add action=dst-nat chain=dstnat comment=SMTPS dst-port=587 in-interface=pppoe-out1 log=yes log-prefix=SMTPS protocol=tcp to-addresses=192.168.10.XX to-ports=587
add action=dst-nat chain=dstnat comment=IMAPS dst-port=995 in-interface=pppoe-out1 log=yes log-prefix=IMAPS protocol=tcp to-addresses=192.168.10.XX to-ports=995
add action=dst-nat chain=dstnat comment=POP3 dst-port=110 in-interface=pppoe-out1 log=yes log-prefix=POP3 protocol=tcp to-addresses=192.168.10.XX to-ports=110

/ip firewall filter
add action=accept chain=input comment="Accetta pacchetti consolidati e correlati" connection-state=established,related disabled=yes
add action=accept chain=input comment="Accetta tutte le connessioni dalla rete locale" disabled=yes in-interface=LAN
add action=drop chain=input comment="Elimina i pacchetti non validi" connection-state=invalid disabled=yes
add action=drop chain=input comment="Elimina tutti i pacchetti che non sono destinati a instradare l'indirizzo IP" disabled=yes dst-address-type=!local
add action=drop chain=input comment="Eliminare tutti i pacchetti che non dispongono di un indirizzo IP di origine unicast" disabled=yes src-address-type=!unicast
add action=accept chain=forward comment="Accetta pacchetti consolidati e correlati" connection-state=established,related disabled=yes
add action=drop chain=forward comment="Elimina i pacchetti non validi" connection-state=invalid disabled=yes
add action=drop chain=forward comment="Elimina tutti i pacchetti dalla rete locale a Internet che non dovrebbero esistere nella rete pubblica" disabled=yes dst-address-list=NotPublic in-interface=LAN
add action=drop chain=forward comment="Elimina tutti i pacchetti nella rete locale che non ha un indirizzo di rete locale" disabled=yes in-interface=LAN src-address=!192.168.10.0/24

In quest'ultimo listato filter rules le regole sono tutte disabilitate.
attualmente con le regole così impostate nel log si vede questo:
09:28:27 firewall,info SMTP dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 46.38.145.XXX:57068->46.28.xxx.xxx:25, len 60

Non dovrebbe essere (unknow)

da **ppraz** » mar 9 giu 2020, 21:43

Effettivamente hai una sola srcnat, la masquerade ed è correttamente configurata.
Hai mica delle "mangle"?

da **iz3spv** » mar 9 giu 2020, 23:38

ppraz ha scritto:Effettivamente hai una sola srcnat, la masquerade ed è correttamente configurata.
Hai mica delle "mangle"?

Si ho delle mangle attive

/ip firewall mangle
add action=mark-connection chain=prerouting connection-nat-state=srcnat,dstnat new-connection-mark=OM-PRE passthrough=yes src-address=192.168.10.15
add action=mark-packet chain=prerouting connection-mark=OM-PRE connection-nat-state=srcnat,dstnat new-packet-mark=OM-PREROUTING passthrough=no
add action=mark-connection chain=postrouting connection-nat-state=srcnat,dstnat new-connection-mark=OM-POST passthrough=yes src-address=192.168.10.15
add action=mark-packet chain=postrouting connection-mark=OM-POST connection-nat-state=srcnat,dstnat new-packet-mark=OM-POSTROUTING passthrough=no

/queue simple
add max-limit=2240k/11M name=OM-PRE packet-marks=OM-PREROUTING queue=ethernet-default/ethernet-default target=pppoe-out1 total-queue=ethernet-default
add max-limit=11M/2240k name=OM-POST packet-marks=OM-POSTROUTING queue=ethernet-default/ethernet-default target=pppoe-out1 total-queue=ethernet-default

Serve all'IP 192.168.10.15 a non esagerare sui download massivi.
Disabilitando le mangle e le queue il risultato non cambia.

23:41:34 firewall,info POP3 dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 176.206.XXX.165:63201->46.28.127.XXX:110, len 52
23:41:34 firewall,info RB150.CSL: POP3 dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 176.206.XXX.165:63201->46.28.127.XXX:110, len 52
23:41:35 firewall,info POP3 dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 176.206.XXX.165:63207->46.28.127.XXX:110, len 52
23:41:35 firewall,info RB150.CSL: POP3 dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 176.206.XXX.165:63207->46.28.127.XXX:110, len 52

IP pubblici e Nat

IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Re: IP pubblici e Nat

Chi c’è in linea