RedX
23-08-2010, 20:51
есть сеть со шлюзом под gentoo, посредством iptables
есть сервер внутри сети под Windows 2003 Std R2 на котором настроен сервер VPN (PPtP)
нужно настроить переброску портов 1723 с внешней сетевой gentoo на ip сервера win2003
забил строчки конфигурации в iptables
# Generated by iptables-save v1.3.5 on Mon Aug 23 22:30:25 2010
*nat
:PREROUTING ACCEPT [1383395:123438666]
:POSTROUTING ACCEPT [11509:710949]
:OUTPUT ACCEPT [1608:165327]
-A PREROUTING -s aaa.aaa.aaa.aaa -d yyy.yyy.yyy.yyy -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 1723 -j LOG --log-prefix "Incoming VPN: " --log-level 7
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.0.10:1723
-A PREROUTING -d xxx.xxx.xxx.xxx -p GRE -j DNAT --to-destination 192.168.0.10
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 3389 -j LOG --log-prefix "Incoming RDP: " --log-level 7
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.10:3389
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.155:80
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.155:21
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 44444 -j DNAT --to-destination 192.168.0.99:44444
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 34444 -j DNAT --to-destination 192.168.0.157:34444
-A POSTROUTING -o eth0 -m iprange --src-range 192.168.0.153-192.168.0.160 -j SNAT --to-source xxx.xxx.xxx.xxx
-A POSTROUTING -s 192.168.0.99 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
-A POSTROUTING -s 192.168.0.9 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
-A POSTROUTING -o eth0 -j SNAT --to-source ccc.ccc.ccc.ccc
COMMIT
# Completed on Mon Aug 23 22:30:25 2010
# Generated by iptables-save v1.3.5 on Mon Aug 23 22:30:25 2010
*filter
:INPUT ACCEPT [2652720:435624914]
:FORWARD ACCEPT [3427461:2041295328]
:OUTPUT ACCEPT [2592818:1924759093]
-A INPUT -i eth0 -p gre -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j DROP
-A FORWARD -s zzz.zzz.zzz.zzz -p tcp -m tcp --sport 670 -j ACCEPT
-A FORWARD -d zzz.zzz.zzz.zzz -p tcp -m tcp --dport 670 -j ACCEPT
-A FORWARD -s zzz.zzz.zzz.zzz -p tcp -m tcp --sport 668 -j ACCEPT
-A FORWARD -d zzz.zzz.zzz.zzz -p tcp -m tcp --dport 668 -j ACCEPT
-A FORWARD -s zzz.zzz.zzz.zzz -p tcp -m tcp --sport 666 -j ACCEPT
-A FORWARD -d zzz.zzz.zzz.zzz -p tcp -m tcp --dport 666 -j ACCEPT
-A FORWARD -m iprange --dst-range 192.168.0.153-192.168.0.160 -j ACCEPT
-A FORWARD -m iprange --src-range 192.168.0.153-192.168.0.160 -j ACCEPT
-A FORWARD -d 192.168.0.99 -j ACCEPT
-A FORWARD -s 192.168.0.99 -j ACCEPT
-A FORWARD -d 192.168.0.9 -j ACCEPT
-A FORWARD -s 192.168.0.9 -j ACCEPT
-A FORWARD -d 192.168.0.10 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 192.168.0.10 -p tcp -m tcp --sport 1723 -j ACCEPT
-A FORWARD -d 192.168.0.10 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.10 -p tcp -m tcp --sport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.7 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 192.168.0.7 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -d 192.168.0.7 -p udp -m udp --sport 87 -j ACCEPT
-A FORWARD -s 192.168.0.7 -p udp -m udp --dport 87 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 192.168.1.0/255.255.255.0 -j DROP
-A FORWARD -d 192.168.1.0/255.255.255.0 -j DROP
COMMIT
# Completed on Mon Aug 23 22:30:25 2010
но соединение не устанавливается выдавая ошибку 806
Я так понимаю что нужно прописать прохождение пакетов протокола IP47, а как это сделать ума не приложу.
есть сервер внутри сети под Windows 2003 Std R2 на котором настроен сервер VPN (PPtP)
нужно настроить переброску портов 1723 с внешней сетевой gentoo на ip сервера win2003
забил строчки конфигурации в iptables
# Generated by iptables-save v1.3.5 on Mon Aug 23 22:30:25 2010
*nat
:PREROUTING ACCEPT [1383395:123438666]
:POSTROUTING ACCEPT [11509:710949]
:OUTPUT ACCEPT [1608:165327]
-A PREROUTING -s aaa.aaa.aaa.aaa -d yyy.yyy.yyy.yyy -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 1723 -j LOG --log-prefix "Incoming VPN: " --log-level 7
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.0.10:1723
-A PREROUTING -d xxx.xxx.xxx.xxx -p GRE -j DNAT --to-destination 192.168.0.10
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 3389 -j LOG --log-prefix "Incoming RDP: " --log-level 7
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.10:3389
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.155:80
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.155:21
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 44444 -j DNAT --to-destination 192.168.0.99:44444
-A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 34444 -j DNAT --to-destination 192.168.0.157:34444
-A POSTROUTING -o eth0 -m iprange --src-range 192.168.0.153-192.168.0.160 -j SNAT --to-source xxx.xxx.xxx.xxx
-A POSTROUTING -s 192.168.0.99 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
-A POSTROUTING -s 192.168.0.9 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
-A POSTROUTING -o eth0 -j SNAT --to-source ccc.ccc.ccc.ccc
COMMIT
# Completed on Mon Aug 23 22:30:25 2010
# Generated by iptables-save v1.3.5 on Mon Aug 23 22:30:25 2010
*filter
:INPUT ACCEPT [2652720:435624914]
:FORWARD ACCEPT [3427461:2041295328]
:OUTPUT ACCEPT [2592818:1924759093]
-A INPUT -i eth0 -p gre -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j DROP
-A FORWARD -s zzz.zzz.zzz.zzz -p tcp -m tcp --sport 670 -j ACCEPT
-A FORWARD -d zzz.zzz.zzz.zzz -p tcp -m tcp --dport 670 -j ACCEPT
-A FORWARD -s zzz.zzz.zzz.zzz -p tcp -m tcp --sport 668 -j ACCEPT
-A FORWARD -d zzz.zzz.zzz.zzz -p tcp -m tcp --dport 668 -j ACCEPT
-A FORWARD -s zzz.zzz.zzz.zzz -p tcp -m tcp --sport 666 -j ACCEPT
-A FORWARD -d zzz.zzz.zzz.zzz -p tcp -m tcp --dport 666 -j ACCEPT
-A FORWARD -m iprange --dst-range 192.168.0.153-192.168.0.160 -j ACCEPT
-A FORWARD -m iprange --src-range 192.168.0.153-192.168.0.160 -j ACCEPT
-A FORWARD -d 192.168.0.99 -j ACCEPT
-A FORWARD -s 192.168.0.99 -j ACCEPT
-A FORWARD -d 192.168.0.9 -j ACCEPT
-A FORWARD -s 192.168.0.9 -j ACCEPT
-A FORWARD -d 192.168.0.10 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 192.168.0.10 -p tcp -m tcp --sport 1723 -j ACCEPT
-A FORWARD -d 192.168.0.10 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.10 -p tcp -m tcp --sport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.7 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 192.168.0.7 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -d 192.168.0.7 -p udp -m udp --sport 87 -j ACCEPT
-A FORWARD -s 192.168.0.7 -p udp -m udp --dport 87 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 192.168.1.0/255.255.255.0 -j DROP
-A FORWARD -d 192.168.1.0/255.255.255.0 -j DROP
COMMIT
# Completed on Mon Aug 23 22:30:25 2010
но соединение не устанавливается выдавая ошибку 806
Я так понимаю что нужно прописать прохождение пакетов протокола IP47, а как это сделать ума не приложу.