Проброс на внешний VPN-сервер

Конфигурирование IPTABLES (Установка, настройка IPTABLES, Маскарадинг, Firewall)
Ответить
dnick
Сообщения: 4
Зарегистрирован: 04 май 2009, 16:00

Проброс на внешний VPN-сервер

Сообщение dnick » 04 май 2009, 16:05

Есть сервер ASPLinux
eth0-WAN
eth1-Lan
есть машина внутри сетки 10.1.1.8
Подскажите как пробросить VPN соединение на внешний сервер 95.102.х.х
Чето я не допру какие порты и какие протоколы кидать. Вроде нашел в инете пару примеров но они чето у маня не фурычят.

dnick
Сообщения: 4
Зарегистрирован: 04 май 2009, 16:00

Re: Проброс на внешний VPN-сервер

Сообщение dnick » 23 июн 2009, 16:23

Ладно народ, раз никто этого незнает напишите плиз как пробросить ВСЕ порты с одной машины наружу(то есть сделать сервер прозрачным при обращении с машины 10.1.1.8 на 95.102.хх.хх и соответсвенно обратно)

Аватара пользователя
Роман Торопов
Администратор
Сообщения: 134
Зарегистрирован: 24 мар 2008, 10:49
Откуда: г. Пермь
Контактная информация:

Re: Проброс на внешний VPN-сервер

Сообщение Роман Торопов » 24 июн 2009, 08:31

миллион раз уже рассмотрено - читай!

dnick
Сообщения: 4
Зарегистрирован: 04 май 2009, 16:00

Re: Проброс на внешний VPN-сервер

Сообщение dnick » 25 июн 2009, 17:00

Почитал, сделал так.

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1:10000 -d 95.102.49.92 -j DNAT --to-destination 10.1.1.8:1-10000
/sbin/iptables -A FORWARD -i 95.102.49.92 -d 10.1.1.8 -p tcp --dport 1:10000 -j ACCEPT

Нефурычит!!!

P.S. Порты на самом деле нужны не все а тока 4439 4440 4441 1022 1024(ну и очевидно pptp и gre). Но я подумал если удастся для этой пачки настроить потом ограничить будет проще.

P.P.S. Инет через сервак ходит нормально.(только он работает как прокся)

Аватара пользователя
Роман Торопов
Администратор
Сообщения: 134
Зарегистрирован: 24 мар 2008, 10:49
Откуда: г. Пермь
Контактная информация:

Re: Проброс на внешний VPN-сервер

Сообщение Роман Торопов » 25 июн 2009, 17:31

dnick писал(а):Почитал, сделал так.

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1:10000 -d 95.102.49.92 -j DNAT --to-destination 10.1.1.8:1-10000
/sbin/iptables -A FORWARD -i 95.102.49.92 -d 10.1.1.8 -p tcp --dport 1:10000 -j ACCEPT

Нефурычит!!!
потаму что ленивый, поэтому и не фурычит ...

*nat
-A PREROUTING -i eth0 -d 95.102.49.92 -j DNAT --to-destination 10.1.1.8
-A POSTROUTING -o eth0 -j SNAT --to-source 95.102.49.92
*filter
-A FORWARD -o eth1 -d 10.1.1.8 -j ACCEPT
-A FORWARD -i eth1 -s 10.1.1.8 -j ACCEPT

Расшифруем,
Условия:
IP на eth0 - 95.102.49.92
10.1.1.8 - локальная машина с которой и на которую проброс. На Которой в свойствах сети, в протоколе TCP/IP прописан шлюз = IP на eth1 и внешние DNS-сервера провайдера.

Действия: пакет из вне, приходит на вход интерфейса eth0 с IP-сом 95.102.49.92 преобразуется в IP локальной машины 10.1.1.8 (перенаправляется), далее по цепочке FORWARD приходин на локальную машину 10.1.1.8.
Далее локальная машина 10.1.1.8, отвечает, через шлюз (IP на eth1), проходит на интерфейс eth0 и по выходу из него маскируется во внешний IP на eth0 и уходит в инет.

При этом должно быть разрешоно шлюзование:
echo "1" > /proc/sys/net/ipv4/ip_forward
а также не должны мешать выше стояшие правила в IPTABLES

dnick
Сообщения: 4
Зарегистрирован: 04 май 2009, 16:00

Re: Проброс на внешний VPN-сервер

Сообщение dnick » 26 июн 2009, 01:36

потаму что ленивый, поэтому и не фурычит ...
Ну дык, лень-двигатель прогресса.

Спасибо огромное заработало!!! Были бы в одном городе, пивом бы проставился!!!

P.S. На сайте ASPLinux так никто мне толком и не подсказал как решить проблему. Единственное на что меня там раскрутили на пересборку ядра,(с целью подключить модули conntrack_pptp nat_pptp), но это само собой проблему нерешило, без правильной настройки брандмауера.

CHPOKS
Сообщения: 3
Зарегистрирован: 11 мар 2010, 00:23

Re: Проброс на внешний VPN-сервер

Сообщение CHPOKS » 11 мар 2010, 01:44

Может вы это и учли. Поделюсб опытом:
в то время не парясь с iptables я фаирвол настроил через arno-iptables-firewall
так вот, открыв только 1723 порт у меня ничего не вышло. потом я почитал:

Код: Выделить всё

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.
и то ли открыл толи второй порт, толи разрешил запуск GRE ... и у меня всё заработало.
т.е. подключение это одно, а после подключения надо тунелирования.

* если информация оказалась полезной, и требуется полее подробный рассказ, дайте знать.
удачи.

Ответить