# Router IP aliasing y enmascaramiento

## opotonil

He tenido que configurar nagios en el curro, así que ya de paso me lo he puesto en el servidorcillo casero y estoy intentando monitorizar por snmp el cablemodem de ono pero por lo que entiendo el puerto esta filtrado para que solo sea accesible desde la red 192.168.100.0/24:

```

# nmap 192.168.100.1 -p 161

Nmap scan report for 192.168.100.1

Host is up (0.0035s latency).

PORT    STATE  SERVICE

161/tcp closed snmp

# nmap 192.168.100.1 -p 161 -S 192.168.100.2 -e wlan0 -PN

Nmap scan report for 192.168.100.1

Host is up.

PORT    STATE    SERVICE

161/tcp filtered snmp

```

Pero no consigo enmascarar en el router la ip de salida para que pertenezca a la red 192.168.100.0/24, pongo como lo estoy intentando a ver si alguien ve que hago mal, el router esta firmwareado con tomatousb, a la espera de que este soportado por openwrt, y la interfaz wan es vlan2:

```

# ifconfig vlan2:0 192.168.100.2 netmask 255.255.255.0

# ifconfig vlan2:0

vlan2:0    Link encap:Ethernet  HWaddr 00:00:00:00:00:00  

           inet addr:192.168.100.2  Bcast:192.168.100.255  Mask:255.255.255.0

           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

# route

192.168.100.0   *               255.255.255.0   U     0      0        0 vlan2

# iptables -t nat -I POSTROUTING 1 -o vlan2 -d 192.168.100.0/24 -j SNAT --to 192.168.100.2

# iptables -t nat -R POSTROUTING 2 -o vlan2 ! -d 192.168.100.0/24 -j MASQUERADE

# iptables -t nat -L -v

Chain POSTROUTING (policy ACCEPT 2106 packets, 544K bytes)

 pkts bytes target     prot opt in     out     source               destination         

 1029 62016 SNAT       all  --  any    vlan2   anywhere             192.168.100.0/24    to:192.168.100.2 

  304 20030 MASQUERADE  all  --  any    vlan2   anywhere            !192.168.100.0/24

```

Si intento utilizar la interfaz vlan2:0 en iptables me da un error:

 *Quote:*   

> 
> 
> Warning: wierd character in interface `vlan2:0' (No aliases, :, ! or = *).
> 
> 

 

Despues de esto repitiendo el primer nmap se supone que tendria que salirme el puerto filtrado en vez de cerrado, pero no y aparte parece dar un error que antes no daba:

```

# nmap 192.168.100.1 -p 161

sendto in send_ip_packet: sendto(4, packet, 40, 0, 192.168.100.1, 16) => Operation not permitted

Offending packet: ICMP 192.168.0.4 > 192.168.100.1 Timestamp request (type=13/code=0) ttl=59 id=2845 iplen=40 

Nmap scan report for 192.168.100.1

Host is up (0.0034s latency).

PORT    STATE  SERVICE

161/tcp closed snmp

```

Asi que algo estoy haciendo mal, pero no caigo en que es...

Gracias y salu2.

----------

## gringo

umm, buenas preguntas  :Razz: 

he estao googleando y me he encontrao estas dos cosillas, a ver si te sirven :

http://www.lugmen.org.ar/pipermail/lug-list/2004-July/029920.html

http://seclists.org/nmap-dev/2005/q2/35

(nótese las fechas, yo juraría que he usao un alias de dispositivo con reglas de iptables antes ...).

saluetes

----------

## opotonil

Gracias @gringo esta tarde probare a utilizar iproute2 para asignar 2 IPs a la interfaz vlan2 en vez de crear un alias vlan2:0 como comentan en el primer enlace que me indicas, en cuanto al segundo no termino de entender porque el paquete se considera "invalid" pero bueno es cosa de probar... como dicen tratandose del "output" no parece que disminuya la seguridad.

Salu2.

----------

## opotonil

Pues no hay suerte (ip wan real sustituida por 1.1.1.1):

```

# ip addr add 192.168.100.2/24 dev vlan2

# ip addr show

5: vlan2@eth0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc noqueue 

    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff

    inet 1.1.1.1/24 brd 1.1.1.255 scope global vlan2

    inet 192.168.100.2/24 scope global vlan2

# nmap 192.168.100.1 -p 161

sendto in send_ip_packet: sendto(4, packet, 40, 0, 192.168.100.1, 16) => Operation not permitted

Offending packet: ICMP 192.168.0.4 > 192.168.100.1 Timestamp request (type=13/code=0) ttl=59 id=23206 iplen=40 

Nmap scan report for cablemodem.ono (192.168.100.1)

Host is up (0.013s latency).

PORT    STATE  SERVICE

161/tcp closed snmp

```

Modifico ip tables, tanto el "masquerade" como los "invalid":

```

# iptables -t nat -I POSTROUTING 1 -o vlan2 -d 192.168.100.0/24 -j SNAT --to 192.168.100.2

# iptables -t nat -R POSTROUTING 2 -o vlan2 ! -d 192.168.100.0/24 -j MASQUERADE

# iptables -D FORWARD 2

# iptables -D INPUT 2

# iptables -t nat -L -v

Chain POSTROUTING (policy ACCEPT 69 packets, 8712 bytes)

 pkts bytes target     prot opt in     out     source               destination         

   15   600 SNAT       all  --  any    vlan2   anywhere             192.168.100.0/24    to:192.168.100.2 

  227 17324 MASQUERADE  all  --  any    vlan2   anywhere            !192.168.100.0/24

# iptables -L -v | grep -i invalid

#

# nmap 192.168.100.1 -p 161

sendto in send_ip_packet: sendto(4, packet, 40, 0, 192.168.100.1, 16) => Operation not permitted

Offending packet: ICMP 192.168.0.4 > 192.168.100.1 Timestamp request (type=13/code=0) ttl=55 id=60505 iplen=40 

Nmap scan report for cablemodem.ono (192.168.100.1)

Host is up (0.012s latency).

PORT    STATE  SERVICE

161/tcp closed snmp

```

Falsificando la ip con el nmap sigue funcionando

```

# nmap 192.168.100.1 -p 161 -e wlan0 -S 192.168.100.2 -PN

Nmap scan report for cablemodem.ono (192.168.100.1)

Host is up.

PORT    STATE    SERVICE

161/tcp filtered snmp

```

A ver si a alguien se le ocurre algo, por que yo la verdad no se...

Gracias y salu2.

----------

## quilosaq

No estoy muy seguro de entender la situación pero asumo que todos los comandos que dices los estás ejecutando en el router. Si es así, las reglas que has configurado para iptables (POSTROUTING) solo se aplicarán si se trata de paquetes procedentes de la LAN. Podrías probar desde un equipo en esa zona.

Para simular esa manera de funcionar con paquetes generados en el propio router deberías cambiar los POSTROUTING por OUTPUT.

Como digo no estoy muy seguro.

----------

## opotonil

Tienes razon @quilosaq, tendria que haber especificado en donde estoy ejecutando los comandos. Todos los de configuracion de red (ifconfig, ip, route e iptables) los ejecuto en el router, el nmap lo ejecuto desde el portatil que se encuentra en la lan (al igual que el servidor con nagios con el que pretendo monitorizar el cablemodem).

Gracias y salu2.

----------

