Problemas em login com servidor linux fazendo NAT

[thiagoapadua]

Ola povo, tudo bem?
Vou explicar meu problema.
Tenho um MK em hotspot consultando um RADIUS, funcionando blz.
Um cliente meu tem um servidor Linux fazendo o NAT da rede interna dele.
Coloquei esse cliente pra autenticar por MAC, blz tambem.
O que acontece é que quase toda manhã, fica pedindo login nas máquinas da rede interna dele.
Só consegue autenticar quando eu acesso meu MK, dou um disable no hotspot server e depois um enable, aí
o cliente loga direto e blz, fica o dia inteiro.
Uma coisa que percebi no log do MK é que tem várias tentativas de login sem sucesso dos ips da rede interna dele com o mac do servidor nat.
Alguém tem alguma luz do que pode estar acontecendo?

[Danusio]

Na realidade a autenticação de mac no radius, até onde eu uso aqui o ip tem que bater com o mac, então quem teria que fazer a autenticação seria o servidor linux com o ip dele.

[thiagoapadua]

Concordo com você, e acho que isso que está fazendo com que apareça a tela de login nos pcs da rede dele e não consegue logar, mas o que eu não entendo, é o por que IPs da rede interna dele estão tentando logar, pois pra logar eles passam pelo servidor, teria que aparecer o ip do servidor na mk não é verdade?

[Danusio]

Sim é verdade, para está passando os ips dos usuarios da rede interna dele, só se o cabo da internet que vc fornece para ele estiver direto no switch ou no servidor linux dele possa está com alguma configuração bidge ou tproxy.
Há alguma config errada nas regras iptables do linux dele, para isso precisariamos ver as regras do server dele.

[thiagoapadua]

Então, ta um mistério, as interfaces não estão em bridge, nem uso tproxy la nesse cliente.
olha o script de firewall de la, simples de tudo:

#!/bin/bash
#Variaveis
REDEIN="192.1.1.0/24"
IFOUT="eth0"

# Repasse de pacotes
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -F
iptables -t nat -F

modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s $REDEIN -j ACCEPT
iptables -A FORWARD -d $REDEIN -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 1414 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -t nat -A PREROUTING -s $REDEIN -p udp --dport 53 -j DNAT --to 192.1.1.112
iptables -t nat -A PREROUTING -s $REDEIN -p udp --dport 53 -j DNAT --to 192.1.1.112

iptables -t nat -A POSTROUTING -s $REDEIN -o $IFOUT -j MASQUERADE,

[Danusio]

faz um teste trocando a regra
iptables -t nat -A POSTROUTING -s $REDEIN -o $IFOUT -j MASQUERADE

por esta
iptables -t nat -A POSTROUTING -s $REDEIN -j MASQUERADE

[thiagoapadua]

é com oestava antes, hehehehe, coloquei o -o $IFOUT pra ver se adiantava alguma coisa.

[Danusio]

Então faça um teste bloqueando qualquer ip estrano no hostpot, veja neste link.
https://under-linux.org/f210/servico...avando-150096/

Procure pela resposta de Luizbe

[thiagoapadua]

Rapaz, parece que resolvi o problema, desse servidor e do resto dos meus clientes hehehe, ao seguir as regras do outro post.

IP->Hotspot->IP Bindings
adiciona rede dos clientes como regular
adiciona o resto 0.0.0.0/0 como blocked

e tambem tirei do Server onde indica o Pool, deixei como none.

Acabou, problema resolvido, valeu.