|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - [решено] iptables для перенаправления VPN и прозрачного прокси |
|
Debian/Ubuntu - [решено] iptables для перенаправления VPN и прозрачного прокси
|
Ветеран Сообщения: 1384 |
Профиль | Отправить PM | Цитировать
Здравствуйте. Есть Ubuntu Server 10.4 работающий в качестве интернет-шлюза, на нём крутится Squid.
ppp0 193.105.33.35 смотрит наружу (статический внешний IP) eth0 192.168.0.10 смотрит внутрь В мануале по настройке sqid был скрипт iptables который в принципе работает нормально. (NAT и заворачивание трафика на интерфейс squid) Но помимо прокси ещё нужно завернуть VPN трафик из внешки на локальную машину 192.168.0.100 (она когда то была шлюзом и на ней крутится VPN сервер под 2003 виндой) Вот скрипт iptables #!/bin/sh # Включаем форвардинг пакетов echo 1 > /proc/sys/net/ipv4/ip_forward # Разрешаем трафик на loopback-интерфейсе iptables -A INPUT -i lo -j ACCEPT # Разрешаем доступ из внутренней сети наружу iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT # Включаем NAT iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE # Запрещаем доступ снаружи во внутреннюю сеть iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT # Заворачиваем http на прокси iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.10:3128 #Заворачиваем трафик VPN сервера на Win2003 modprobe ip_gre iptables -A INPUT -p gre -j ACCEPT iptables -A OUTPUT -p gre -j ACCEPT iptables -t nat -A PREROUTING --dst 193.105.33.35 -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.100 iptables -t nat -A POSTROUTING --dst 192.168.0.100 -p tcp --dport 1723 -j SNAT --to-source 192.168.0.10 iptables -t nat -A OUTPUT --dst 193.105.33.35 -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.100 iptables -I FORWARD 1 -i ppp0 -o eth0 -d 192.168.0.100 -p tcp -m tcp --dport 1723 -j ACCEPT В логах 2003 сервера пишется: Тип события: Предупреждение Источник события: Rasman Категория события: Отсутствует Код события: 20209 Дата: 10.07.2010 Время: 14:34:38 Пользователь: Н/Д Компьютер: HIGHLANDER Описание: Связь между VPN-сервером и VPN-клиентом 192.168.0.10 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Пожалуйста помогите разобраться |
|
------- Отправлено: 14:41, 10-07-2010 |
Необычный Сообщения: 4463
|
Профиль | Сайт | Отправить PM | Цитировать Tonny_Bennet, Посмотри порядок выполнений правил.
У меня подозрение, что пакеты "заворачиваются" не успев дойти до разрешающего правила. |
------- Отправлено: 21:52, 10-07-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 1384
|
Профиль | Отправить PM | Цитировать А как это проверить если не секрет?
|
------- Отправлено: 23:37, 10-07-2010 | #3 |
Необычный Сообщения: 4463
|
Профиль | Сайт | Отправить PM | Цитировать man iptables
Цитата:
|
|
------- Отправлено: 16:27, 11-07-2010 | #4 |
Ветеран Сообщения: 1384
|
Профиль | Отправить PM | Цитировать Вот нашёл решение похожей проблемы
http://www.traffpro.ru/forum/topic_969 Но мне немного не понятно что в роли источника и что в роли сервера. Сделал так iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 193.105.33.35 --dport 1723 -j DNAT --to-destination 192.168.0.10:1723 iptables -A FORWARD -i eth0 -d 192.168.0.10 -p tcp --dport 1723 -j QUEUE iptables -t nat -A PREROUTING -p 47 -s 0/0 -d 193.105.33.35 -j DNAT --to-destination 192.168.0.10 iptables -A FORWARD -i eth0 -d 192.168.0.10 -p 47 -j QUEUE Всё равно работать не хочет |
|
------- Последний раз редактировалось Tonny_Bennet, 12-07-2010 в 10:53. Отправлено: 10:17, 12-07-2010 | #5 |
Ветеран Сообщения: 1384
|
Профиль | Отправить PM | Цитировать Потанцевал с бубном почитал маны и пришёл к выводу что это задница.... попил чайку..... и всё заработало
Сетевые интерфейсы Скрипт NAT + PortForwarding P.S. машина 192.168.0.100 - это VPN сервер под Win2003 |
------- Отправлено: 21:49, 12-07-2010 | #6 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Прочее - [решено] Блокировка сайтов, с помощью iptables. БЕЗ ПРОКСИ Сервера. | voler | Общий по Linux | 14 | 11-04-2015 10:42 | |
Debian/Ubuntu - Настройка IPTables для PPTPD | Undel | Общий по Linux | 2 | 17-09-2009 17:30 | |
VPN - VPn, прокси, сайт "контакт" скрытие сервера..... | Diomant2186 | Сетевые технологии | 6 | 13-10-2008 09:42 | |
Интерфейс - [решено] Возврат "отображения прозрачного прямоугольника при выделении" | Craager | Microsoft Windows 2000/XP | 6 | 03-11-2007 23:19 | |
IPTABLES!!! RULES, Разгавор о iptables | BuuG | Общий по Linux | 17 | 03-03-2006 16:00 |
|