forum.opennet.ru - "iptables" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables"		+/–
Сообщение от sanpancho (ok) on 12-Июн-09, 08:50
Доброе утро ) Ситуация такая - есть сервер c установленной ОС mandriva,это сервер выступает как интернет шлюз, на нём установлен прокся и почтовик. По топологии сети за этим сервером распологается сервер с Win 2003 (например, ip 10.1.1.1), там установлен Kerio Firewall и поднят VPN-сервер. Так вот я хочу из дома соединяться благодаря kerio vpn client соединяться c vpn сервером организации и попадать в сеть. Понимаю что для этого надо настроить iptables на интернет шлюзе, чтоб он пакеты с определенного ip адреса и порта направлял на vpn сервер. Люди подскажите как правильно это сделать ?? порт у vpn сервера - 4090. мой ip - 12.12.12.12 вот мой вариант - iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -j DNAT --to-destination 10.1.1.1:4090 iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -p tcp --sport 4090 -j SNAT --to-source 12.12.12.12:4090 я так делал и что то не вышло.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

iptables, gennadys, 09:34 , 12-Июн-09, (1)

iptables, sanpancho, 09:36 , 12-Июн-09, (2)

iptables, sonkilla, 09:47 , 12-Июн-09, (3)

iptables, sanpancho, 10:09 , 12-Июн-09, (4)

iptables, gennadys, 11:08 , 12-Июн-09, (5)

iptables, sanpancho, 11:35 , 12-Июн-09, (7)

iptables, gennadys, 11:11 , 12-Июн-09, (6)

iptables, sanpancho, 11:36 , 12-Июн-09, (8)

iptables, reader, 12:11 , 12-Июн-09, (9)

iptables, sanpancho, 13:31 , 12-Июн-09, (10)

iptables, sanpancho, 13:32 , 12-Июн-09, (11)

iptables, reader, 13:52 , 12-Июн-09, (12)

iptables, sanpancho, 14:53 , 12-Июн-09, (13)

iptables, reader, 15:30 , 12-Июн-09, (14)

iptables, sonkilla, 16:02 , 12-Июн-09, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables" +/–

Сообщение от gennadys (??) on 12-Июн-09, 09:34

>[оверквотинг удален]
>мой ip - 12.12.12.12
>
>вот мой вариант  -
>
>iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport
>4090 -j DNAT --to-destination 10.1.1.1:4090
>iptables -t nat -A POSTROUTING -o eth1 -s  10.1.1.1 -p tcp
>--sport 4090 -j SNAT --to-source 12.12.12.12:4090
>
>я так делал и что то не вышло.
Еще нужно, как минимум:
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m state --state NEW -j ACCEPT
И маршрутизацию включить не забудьте.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables" +/–

Сообщение от sanpancho (ok) on 12-Июн-09, 09:36

А как проверить включена маршрутизация или нет ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables" +/–

Сообщение от sonkilla (ok) on 12-Июн-09, 09:47

>А как проверить включена маршрутизация или нет ?
cat /proc/sys/net/ipv4/ip_forward если там значение 1 то включена если 0 то выключена незнаю как в вашем дистрибутиве но скарей всего так как он редхат лайк то тут vi /etc/sysctl.conf
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
поменять 0 на 1 и ребут сети

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables" +/–

Сообщение от sanpancho (ok) on 12-Июн-09, 10:09

Включено.
Добавил:
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m state --state NEW -j ACCEPT
Все равно не идёт.
Пишет запрос на установление отклонен сервером.
Может логи стоит на сервере посмотреть ?
>>А как проверить включена маршрутизация или нет ?
>
> cat /proc/sys/net/ipv4/ip_forward если там значение 1 то включена если 0 то
>выключена незнаю как в вашем дистрибутиве но скарей всего так как
>он редхат лайк то тут vi /etc/sysctl.conf
># Controls IP packet forwarding
>net.ipv4.ip_forward = 0
>
>поменять 0 на 1 и ребут сети

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "iptables" +/–

Сообщение от gennadys (??) on 12-Июн-09, 11:08

>Добавил:
>iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m
>state --state NEW -j ACCEPT
>
>Все равно не идёт.
>Пишет запрос на установление отклонен сервером.
>Может логи стоит на сервере посмотреть ?
Посмотрите логи. Можете включить логи и для фильтра пакетов:
iptables -t mangle -A FORWARD -p tcp --dport 4090 -LOG ACCEPT
iptables -t mangle -A FORWARD -p tcp --sport 4090 -LOG ACCEPT
Если сервер отвечает, то очевидно, что пакеты проходят. Значит нужно смотреть настройки самого VPN-сервера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "iptables" +/–

Сообщение от sanpancho (ok) on 12-Июн-09, 11:35

запрос на установление отклонен сервером - может сервер который интернет шлюз ??
с настройками впн сервера всё нормуль, там чётко прописано с какого ip можно создавать vpn-туннель.
А куда будут сыпаться логи для фильтра пакета ??
>[оверквотинг удален]
>>Пишет запрос на установление отклонен сервером.
>>Может логи стоит на сервере посмотреть ?
>
>Посмотрите логи. Можете включить логи и для фильтра пакетов:
>
>iptables -t mangle -A FORWARD -p tcp --dport 4090 -LOG ACCEPT
>iptables -t mangle -A FORWARD -p tcp --sport 4090 -LOG ACCEPT
>
>Если сервер отвечает, то очевидно, что пакеты проходят. Значит нужно смотреть настройки
>самого VPN-сервера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "iptables" +/–

Сообщение от gennadys (??) on 12-Июн-09, 11:11

Кстати, а виндовый файрвол не блокирует пакеты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "iptables" +/–

Сообщение от sanpancho (ok) on 12-Июн-09, 11:36

Нет, он отключен.
>Кстати, а виндовый файрвол не блокирует пакеты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "iptables" +/–

Сообщение от reader (ok) on 12-Июн-09, 12:11

>[оверквотинг удален]
>мой ip - 12.12.12.12
>
>вот мой вариант  -
>
>iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport
>4090 -j DNAT --to-destination 10.1.1.1:4090
>iptables -t nat -A POSTROUTING -o eth1 -s  10.1.1.1 -p tcp
>--sport 4090 -j SNAT --to-source 12.12.12.12:4090
>
>я так делал и что то не вышло.
интересно у вас получается, DNAT делаете на eth0 и если это интерфейс смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл такого SNAT не понятен
покажите iptables-save и укажите какие интерфейсы куда смотрят

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "iptables" +/–

Сообщение от sanpancho (ok) on 12-Июн-09, 13:31

eth0 - интерфейс который смотрит в стороноу провайдера, а eth1 в сторону локалки.

>
>интересно у вас получается, DNAT делаете на eth0 и если это интерфейс
>смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл
>такого SNAT не понятен
>
>покажите iptables-save и укажите какие интерфейсы куда смотрят

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "iptables" +/–

Сообщение от sanpancho (ok) on 12-Июн-09, 13:32

а надо на сервере интернет шлюз открывать порт 4090 ??
чтобы к нему коннектился клиент..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "iptables" +/–

Сообщение от reader (ok) on 12-Июн-09, 13:52

>а надо на сервере интернет шлюз открывать порт 4090 ??
>чтобы к нему коннектился клиент..
и что?
SNAT для пакетов от сервера делается или нет?
у eth1 адрес из подсети 10.1.1.0 ?
у сервера что шлюзом прописано?
на сервер пакеты приходят или нет?
ответы от сервера уходят?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "iptables" +/–

Сообщение от sanpancho (ok) on 12-Июн-09, 14:53

iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2
iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT

ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает ошибку Невозможно организовать туннелирование данных.
Надо в postrouting написать.
помогите..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "iptables" +/–

Сообщение от reader (ok) on 12-Июн-09, 15:30

>[оверквотинг удален]
>DNAT --to-destination $LOCAL_IP:$PORT2
>iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j
>ACCEPT
>
>
>ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает
>ошибку Невозможно организовать туннелирование данных.
>
>Надо в postrouting написать.
>помогите..
postrouting  такой же как вы и писали только место -o eth1 пишите -o eth0, но если это шлюз и он уже и так для всего SNAT делает, то будет незачем, показывайте iptables-save и ifconfig, только белые адреса замаскируйте, так что бы логика осталась понятна

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "iptables" +/–

Сообщение от sonkilla (ok) on 12-Июн-09, 16:02

за последнюю неделю уже в трех ветках памойму написал а никто нечитает даже.товарищи ЮЗАЙТЕ поиск по подобным проблемам.вопервых в фаире подгрузите модуль ip_nat_pptp (без него и недолжен работать впн через ваш шлюз)во вторых есть генеальная никсовая софтина называеться tcpdump если вы незнаете как с ней работать то никогда нормально без чьей либо помощи несможете разобраться в проблемах в сети,посмотрите на обеих интерфейсах что приходит что уходит.и в третих прочитайте вы уже наконецтаки
https://www.opennet.ru/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables"		+/–
Сообщение от gennadys (??) on 12-Июн-09, 09:34
>[оверквотинг удален] >мой ip - 12.12.12.12 > >вот мой вариант - > >iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport >4090 -j DNAT --to-destination 10.1.1.1:4090 >iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -p tcp >--sport 4090 -j SNAT --to-source 12.12.12.12:4090 > >я так делал и что то не вышло. Еще нужно, как минимум: iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m state --state NEW -j ACCEPT И маршрутизацию включить не забудьте.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "iptables"		+/–
	Сообщение от sanpancho (ok) on 12-Июн-09, 09:36
	А как проверить включена маршрутизация или нет ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "iptables"		+/–
	Сообщение от sonkilla (ok) on 12-Июн-09, 09:47
	>А как проверить включена маршрутизация или нет ? cat /proc/sys/net/ipv4/ip_forward если там значение 1 то включена если 0 то выключена незнаю как в вашем дистрибутиве но скарей всего так как он редхат лайк то тут vi /etc/sysctl.conf # Controls IP packet forwarding net.ipv4.ip_forward = 0 поменять 0 на 1 и ребут сети
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "iptables"		+/–
	Сообщение от sanpancho (ok) on 12-Июн-09, 10:09
	Включено. Добавил: iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m state --state NEW -j ACCEPT Все равно не идёт. Пишет запрос на установление отклонен сервером. Может логи стоит на сервере посмотреть ? >>А как проверить включена маршрутизация или нет ? > > cat /proc/sys/net/ipv4/ip_forward если там значение 1 то включена если 0 то >выключена незнаю как в вашем дистрибутиве но скарей всего так как >он редхат лайк то тут vi /etc/sysctl.conf ># Controls IP packet forwarding >net.ipv4.ip_forward = 0 > >поменять 0 на 1 и ребут сети
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "iptables"		+/–
	Сообщение от gennadys (??) on 12-Июн-09, 11:08
	>Добавил: >iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT >iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m >state --state NEW -j ACCEPT > >Все равно не идёт. >Пишет запрос на установление отклонен сервером. >Может логи стоит на сервере посмотреть ? Посмотрите логи. Можете включить логи и для фильтра пакетов: iptables -t mangle -A FORWARD -p tcp --dport 4090 -LOG ACCEPT iptables -t mangle -A FORWARD -p tcp --sport 4090 -LOG ACCEPT Если сервер отвечает, то очевидно, что пакеты проходят. Значит нужно смотреть настройки самого VPN-сервера.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "iptables"		+/–
	Сообщение от sanpancho (ok) on 12-Июн-09, 11:35
	запрос на установление отклонен сервером - может сервер который интернет шлюз ?? с настройками впн сервера всё нормуль, там чётко прописано с какого ip можно создавать vpn-туннель. А куда будут сыпаться логи для фильтра пакета ?? >[оверквотинг удален] >>Пишет запрос на установление отклонен сервером. >>Может логи стоит на сервере посмотреть ? > >Посмотрите логи. Можете включить логи и для фильтра пакетов: > >iptables -t mangle -A FORWARD -p tcp --dport 4090 -LOG ACCEPT >iptables -t mangle -A FORWARD -p tcp --sport 4090 -LOG ACCEPT > >Если сервер отвечает, то очевидно, что пакеты проходят. Значит нужно смотреть настройки >самого VPN-сервера.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "iptables"		+/–
	Сообщение от gennadys (??) on 12-Июн-09, 11:11
	Кстати, а виндовый файрвол не блокирует пакеты?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "iptables"		+/–
	Сообщение от sanpancho (ok) on 12-Июн-09, 11:36
	Нет, он отключен. >Кстати, а виндовый файрвол не блокирует пакеты?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "iptables"		+/–
Сообщение от reader (ok) on 12-Июн-09, 12:11
>[оверквотинг удален] >мой ip - 12.12.12.12 > >вот мой вариант - > >iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport >4090 -j DNAT --to-destination 10.1.1.1:4090 >iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -p tcp >--sport 4090 -j SNAT --to-source 12.12.12.12:4090 > >я так делал и что то не вышло. интересно у вас получается, DNAT делаете на eth0 и если это интерфейс смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл такого SNAT не понятен покажите iptables-save и укажите какие интерфейсы куда смотрят
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "iptables"		+/–
	Сообщение от sanpancho (ok) on 12-Июн-09, 13:31
	eth0 - интерфейс который смотрит в стороноу провайдера, а eth1 в сторону локалки. > >интересно у вас получается, DNAT делаете на eth0 и если это интерфейс >смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл >такого SNAT не понятен > >покажите iptables-save и укажите какие интерфейсы куда смотрят
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "iptables"		+/–
	Сообщение от sanpancho (ok) on 12-Июн-09, 13:32
	а надо на сервере интернет шлюз открывать порт 4090 ?? чтобы к нему коннектился клиент..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "iptables"		+/–
	Сообщение от reader (ok) on 12-Июн-09, 13:52
	>а надо на сервере интернет шлюз открывать порт 4090 ?? >чтобы к нему коннектился клиент.. и что? SNAT для пакетов от сервера делается или нет? у eth1 адрес из подсети 10.1.1.0 ? у сервера что шлюзом прописано? на сервер пакеты приходят или нет? ответы от сервера уходят?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "iptables"		+/–
	Сообщение от sanpancho (ok) on 12-Июн-09, 14:53
	iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2 iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает ошибку Невозможно организовать туннелирование данных. Надо в postrouting написать. помогите..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "iptables"		+/–
	Сообщение от reader (ok) on 12-Июн-09, 15:30
	>[оверквотинг удален] >DNAT --to-destination $LOCAL_IP:$PORT2 >iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j >ACCEPT > > >ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает >ошибку Невозможно организовать туннелирование данных. > >Надо в postrouting написать. >помогите.. postrouting такой же как вы и писали только место -o eth1 пишите -o eth0, но если это шлюз и он уже и так для всего SNAT делает, то будет незачем, показывайте iptables-save и ifconfig, только белые адреса замаскируйте, так что бы логика осталась понятна
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "iptables"		+/–
	Сообщение от sonkilla (ok) on 12-Июн-09, 16:02
	за последнюю неделю уже в трех ветках памойму написал а никто нечитает даже.товарищи ЮЗАЙТЕ поиск по подобным проблемам.вопервых в фаире подгрузите модуль ip_nat_pptp (без него и недолжен работать впн через ваш шлюз)во вторых есть генеальная никсовая софтина называеться tcpdump если вы незнаете как с ней работать то никогда нормально без чьей либо помощи несможете разобраться в проблемах в сети,посмотрите на обеих интерфейсах что приходит что уходит.и в третих прочитайте вы уже наконецтаки https://www.opennet.ru/docs/RUS/iptables/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]