форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Пробросить порт PPTP на внутренний сервер с помшью iptables"

Сообщение от Doc (ok) on 15-Дек-08, 16:50

Народ помогите , надо пробросить VPN c реального ипа на внутренний сервак стоит Linux SUSE (как почтовик и веб, NATa на нем нету, тольо фаервол iptables), подскажите как через iptables прокинуть порт vpn ip внешний 62.117.107.40 ip внутренний 10.103.111.2

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Пробросить порт PPTP на внутренний сервер с помшью iptables"

Сообщение от ipmanyak (??) on 15-Дек-08, 17:23

>Народ помогите , надо пробросить VPN c реального ипа на внутренний сервак > >стоит Linux SUSE (как почтовик и веб, NATa на нем нету, тольо >фаервол iptables), подскажите как через iptables прокинуть порт vpn >ip внешний 62.117.107.40 >ip внутренний 10.103.111.2 http://www.impsec.org/linux/masquerade/ip_masq_vpn.html PPTP (1723/tcp and 47/ip): /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 192.168.0.5 /sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j DNAT --to 192.168.0.5 ...where 192.168.0.5 is the local-network IP address of the PPTP server.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Пробросить порт PPTP на внутренний сервер с помшью iptables"
	Сообщение от ono on 15-Дек-08, 17:53
	это будет работать при условии, что шлюзом по-умолчанию у vpn сервера является 10.103.111.2 в противном случае еще надо добавить /sbin/iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.5 -j SNAT --to-source 10.103.111.2 где 192.168.0.5 все тот же локальный vpn сервер
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Пробросить порт PPTP на внутренний сервер с помшью iptables"
	Сообщение от Doc (ok) on 16-Дек-08, 08:15
	>это будет работать при условии, что шлюзом по-умолчанию у vpn сервера является >10.103.111.2 > >в противном случае еще надо добавить >/sbin/iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.5 -j SNAT --to-source >10.103.111.2 > >где 192.168.0.5 все тот же локальный vpn сервер вроде сделал ... повсей видимости цепочка заработала так как соединение проваливаеться до проверки логина и пароля если я правельно подимаю в этой цепочке используеться нат, тоесть сервер на который я пробрасываю порт vpn всегда получает при коннекте ИП линуксового сервака? (это к вопросу о разрешени коннекта ка серваке VPN) и ещё но после выполнения комманды почемуто через iptables -L я невижу эти цепочки в списке? komplexb:~ # iptables -t nat -A POSTROUTING -p tcp --dst 10.103.111.2 -j SNAT --to-source 10.111.2.100 komplexb:~ # iptables -L Chain INPUT (policy DROP) target     prot opt source               destination ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     tcp  --  anywhere             anywhere            tcp flags:ACK/ACK ACCEPT     tcp  --  anywhere             anywhere            tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp ACCEPT     tcp  --  213.221.6.0/24       anywhere            tcp multiport dports ssh,44337,ndmp,mysql ACCEPT     tcp  --  10.111.2.25          anywhere            tcp multiport dports ssh,44337,ndmp,mysql ACCEPT     all  --  10.103.111.2         anywhere ACCEPT     udp  --  anywhere             anywhere            udp spt:domain dpts:1024:65535 ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply ACCEPT     icmp --  anywhere             anywhere            icmp echo-request ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable ACCEPT     icmp --  anywhere             anywhere            icmp source-quench ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem ACCEPT     all  --  anywhere             anywhere ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:iad1 Chain FORWARD (policy ACCEPT) target     prot opt source               destination Chain OUTPUT (policy ACCEPT) target     prot opt source               destination DROP       tcp  --  anywhere            !10.111.0.0/16       tcp dpt:ftp ACCEPT     tcp  --  anywhere             komplexb.butovonet.ru tcp dpt:http ACCEPT     tcp  --  anywhere             nai-update.kerio.com tcp dpt:http ACCEPT     tcp  --  anywhere             localhost           tcp dpt:http ACCEPT     tcp  --  anywhere             217.16.18.197       tcp dpt:http ACCEPT     tcp  --  anywhere             vhost.sourceforge.net tcp dpt:http DROP       tcp  --  anywhere             anywhere            tcp dpt:http DROP       tcp  --  anywhere             anywhere            tcp dpt:30375 DROP       tcp  --  anywhere             anywhere            tcp dpt:ums ACCEPT     all  --  anywhere             anywhere komplexb:~ # P.S. ип сервера VPN 10.103.111.2 а ип второго инетерфейса у линуксового севрера 10.111.2.100
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Пробросить порт PPTP на внутренний сервер с помшью iptables"
	Сообщение от antony (??) on 16-Дек-08, 09:00
	>[оверквотинг удален] > anywhere           >  tcp dpt:ums >ACCEPT     all  --  anywhere   >          anywhere > >komplexb:~ # > > >P.S. ип сервера VPN 10.103.111.2 а ип второго инетерфейса у линуксового севрера >10.111.2.100 iptables -t nat -L
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Пробросить порт PPTP на внутренний сервер с помшью iptables"
	Сообщение от Doc (ok) on 16-Дек-08, 10:39
	>[оверквотинг удален] >>ACCEPT     all  --  anywhere   >>          anywhere >> >>komplexb:~ # >> >> >>P.S. ип сервера VPN 10.103.111.2 а ип второго инетерфейса у линуксового севрера >>10.111.2.100 > >iptables -t nat -L проброс вроде работает, но вот застревает на проверке пользователя и пароля походу ещё какогто порта или протокола нехватет VPN сервер на винде пишит вот что: Связь между VPN-сервером и VPN-клиентом 10.111.2.100 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. хотя вроде он проброшен , и если я настраиваю PPTP c линусового сервака то коннект проходит на ура... может ещё какй-то порт\протокол надо пробросить? (всю таблицу ipfiltr на линусовом серваке я отрубал ... та кчто дело не вней ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Пробросить порт PPTP на внутренний сервер с помшью iptables"
	Сообщение от Mr_Dee (ok) on 16-Дек-08, 15:58
	/sbin/sysctl net.ipv4.ip_forward=1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Пробросить порт PPTP на внутренний сервер с помшью iptables"
	Сообщение от Doc (ok) on 16-Дек-08, 16:46
	>/sbin/sysctl net.ipv4.ip_forward=1 конечно есть :) заработало когда изменил правило iptables -t nat -A POSTROUTING -p tcp --dst 10.103.111.2 -j SNAT --to-source 10.111.2.100 на iptables -t nat -A POSTROUTING --dst 10.103.111.2 -j SNAT --to-source 10.111.2.100
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Пробросить порт PPTP на внутренний сервер с помшью iptables"
	Сообщение от Mr_Dee (ok) on 16-Дек-08, 17:07
	>>/sbin/sysctl net.ipv4.ip_forward=1 > >конечно есть :) > > >заработало когда изменил правило iptables -t nat -A POSTROUTING -p tcp --dst >10.103.111.2 > -j SNAT --to-source 10.111.2.100 > на >iptables -t nat -A POSTROUTING --dst 10.103.111.2 -j SNAT --to-source 10.111.2.100 /sbin/iptables -A POSTROUTING -t nat -p all -s local_ip -j SNAT -o eth0 --to-source external_ip тут более понятно все кто источник local_ip натятся через интрфейс eth0 под ip адресом external_ip , у тебя как то странно получается всё что назначено для отдального ip превращать в другой ip если нужно редиректить порты , то можно воспользоваться DNAT
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Пробросить порт^Wпротокол PPTP"
	Сообщение от Andrey Mitrofanov on 16-Дек-08, 17:33
	>заработало когда изменил Это  просто ужас какой-то. %-O Сразу написать, как ипманьяк в первой реплике написал, -- никак? Или оно и так "не захотело"?... +http:/openforum/vsluhforumID10/4075.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "с помшью iptables... не уронить, не уронить, не уронить..."

Сообщение от Andrey Mitrofanov on 16-Дек-08, 17:38

>надо пробросить VPN c реального ипа на внутренний сервак >стоит Linux Совсем забыл: google.ru + pptp dnat site:opennet.ru + ENTER, вот.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]