forum.opennet.ru

Составление сообщения

Исходное сообщение

"VPN + NAT в IPtables"
Отправлено reader, 06-Апр-09 15:57

>[оверквотинг удален]
># Completed on Mon Apr  6 16:50:13 2009
># Generated by iptables-save v1.4.0 on Mon Apr  6 16:50:13 2009
>
>*nat
>:PREROUTING ACCEPT [510:31781]
>:POSTROUTING ACCEPT [97:7045]
>:OUTPUT ACCEPT [96:6985]
>[377:18324] -A POSTROUTING -s 192.168.50.0/24 -o eth1 -j SNAT --to-source 192.168.1.2
>[0:0] -A POSTROUTING -s 192.168.50.0/24 -d 192.168.80.40/32 -o ppp+ -j SNAT --to-source
>192.168.1.2
бредовое правило, маскировать адресом с eth1, то что должно уйти через ppp+, хорошо что не срабатывало, уберите его.
>[23:1332] -A POSTROUTING -s 192.168.50.0/24 -d 192.168.80.40/32 -o ppp+ -j SNAT --to-source
>192.168.80.40
192.168.80.40 это адрес на этой же машине, так? а маскироваться должно то что идет на 192.168.20.30? тогда
-A POSTROUTING -s 192.168.50.0/24 -d 192.168.20.30/32 -o ppp+ -j SNAT --to-source
192.168.80.40
>[оверквотинг удален]
>:icmp_packets - [0:0]
>:tcp_packets - [0:0]
>:udp_packets - [0:0]
>[4282:633984] -A INPUT -p tcp -j bad_tcp_packets
>[3481:317248] -A INPUT -s 192.168.50.0/24 -i eth2 -j ACCEPT
>[630:94077] -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
>[0:0] -A INPUT -s 192.168.50.77/32 -i lo -j ACCEPT
>[0:0] -A INPUT -s 192.168.1.2/32 -i lo -j ACCEPT
>[123:130379] -A INPUT -i ppp0 -j ACCEPT
>[2:168] -A INPUT -s 192.168.80.40/32 -j ACCEPT
с самого себя?
-A INPUT -s 192.168.50.0/24 -d 192.168.80.40/32 -j ACCEPT
пока без протокола, разрешит из локалки пинговать 192.168.80.40
>[оверквотинг удален]
>[0:0] -A INPUT -i eth2 -p udp -m udp --sport 68 --dport
>67 -j ACCEPT
>[602:182921] -A INPUT -d 192.168.1.2/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
>[21:1634] -A INPUT -i eth1 -p tcp -j tcp_packets
>[62:8589] -A INPUT -i eth1 -p udp -j udp_packets
>[0:0] -A INPUT -i eth1 -p icmp -j icmp_packets
>[52:8415] -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix
>"IPT INPUT packet died: " --log-level 7
>[7613:3467698] -A FORWARD -p tcp -j bad_tcp_packets
>[3905:670908] -A FORWARD -i eth2 -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
иначе через ppp+ не разрешено устанавливать соединения
>[4103:2828349] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
только пакеты для установленного соединения
>[6:336] -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix
>"IPT FORWARD packet died: " --log-level 7
>[4904:922103] -A OUTPUT -p tcp -j bad_tcp_packets
>[630:94077] -A OUTPUT -s 127.0.0.1/32 -j ACCEPT
>[4153:839325] -A OUTPUT -s 192.168.50.77/32 -j ACCEPT
>[2245:242887] -A OUTPUT -s 192.168.1.2/32 -j ACCEPT
>[2:168] -A OUTPUT -o ppp0 -j ACCEPT
>[2:168] -A OUTPUT -d 192.168.80.40/32 -j ACCEPT
исходящие самому себе?
>[0:0] -A OUTPUT -o eth1 -p gre -j ACCEPT
>[0:0] -A OUTPUT -o eth1 -p tcp -m tcp --dport 1723 -j
>ACCEPT
>[0:0] -A OUTPUT -s 192.168.50.0/24 -d 192.168.80.40/32 -j ACCEPT
не думаю что это понадобится, но пока оставте
>[0:0] -A OUTPUT -s 192.168.80.40/32 -d 192.168.20.30/32 -j ACCEPT
по идее до него не должно дойти из-зи
-A OUTPUT -o ppp0 -j ACCEPT, но пока оставте и по идее пинги с 192.168.80.40 на 192.168.20.30 должны ходить

>[оверквотинг удален]
>allowed
>[0:0] -A udp_packets -s 192.168.50.0/24 -p udp -m udp --dport 2074 -j
>ACCEPT
>[0:0] -A udp_packets -s 192.168.50.0/24 -p udp -m udp --dport 4000 -j
>ACCEPT
>COMMIT
># Completed on Mon Apr  6 16:50:13 2009
>
>Пингую (192.168.80.40 и 192.168.20.30) и с сервера (с сервера и при политике
>по-умолчанию DROP), и с локалки.

Исходное сообщение
"VPN + NAT в IPtables" Отправлено reader, 06-Апр-09 15:57
>[оверквотинг удален] ># Completed on Mon Apr 6 16:50:13 2009 ># Generated by iptables-save v1.4.0 on Mon Apr 6 16:50:13 2009 > >*nat >:PREROUTING ACCEPT [510:31781] >:POSTROUTING ACCEPT [97:7045] >:OUTPUT ACCEPT [96:6985] >[377:18324] -A POSTROUTING -s 192.168.50.0/24 -o eth1 -j SNAT --to-source 192.168.1.2 >[0:0] -A POSTROUTING -s 192.168.50.0/24 -d 192.168.80.40/32 -o ppp+ -j SNAT --to-source >192.168.1.2 бредовое правило, маскировать адресом с eth1, то что должно уйти через ppp+, хорошо что не срабатывало, уберите его. >[23:1332] -A POSTROUTING -s 192.168.50.0/24 -d 192.168.80.40/32 -o ppp+ -j SNAT --to-source >192.168.80.40 192.168.80.40 это адрес на этой же машине, так? а маскироваться должно то что идет на 192.168.20.30? тогда -A POSTROUTING -s 192.168.50.0/24 -d 192.168.20.30/32 -o ppp+ -j SNAT --to-source 192.168.80.40 >[оверквотинг удален] >:icmp_packets - [0:0] >:tcp_packets - [0:0] >:udp_packets - [0:0] >[4282:633984] -A INPUT -p tcp -j bad_tcp_packets >[3481:317248] -A INPUT -s 192.168.50.0/24 -i eth2 -j ACCEPT >[630:94077] -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT >[0:0] -A INPUT -s 192.168.50.77/32 -i lo -j ACCEPT >[0:0] -A INPUT -s 192.168.1.2/32 -i lo -j ACCEPT >[123:130379] -A INPUT -i ppp0 -j ACCEPT >[2:168] -A INPUT -s 192.168.80.40/32 -j ACCEPT с самого себя? -A INPUT -s 192.168.50.0/24 -d 192.168.80.40/32 -j ACCEPT пока без протокола, разрешит из локалки пинговать 192.168.80.40 >[оверквотинг удален] >[0:0] -A INPUT -i eth2 -p udp -m udp --sport 68 --dport >67 -j ACCEPT >[602:182921] -A INPUT -d 192.168.1.2/32 -m state --state RELATED,ESTABLISHED -j ACCEPT >[21:1634] -A INPUT -i eth1 -p tcp -j tcp_packets >[62:8589] -A INPUT -i eth1 -p udp -j udp_packets >[0:0] -A INPUT -i eth1 -p icmp -j icmp_packets >[52:8415] -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix >"IPT INPUT packet died: " --log-level 7 >[7613:3467698] -A FORWARD -p tcp -j bad_tcp_packets >[3905:670908] -A FORWARD -i eth2 -j ACCEPT -A FORWARD -o ppp+ -j ACCEPT иначе через ppp+ не разрешено устанавливать соединения >[4103:2828349] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT только пакеты для установленного соединения >[6:336] -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix >"IPT FORWARD packet died: " --log-level 7 >[4904:922103] -A OUTPUT -p tcp -j bad_tcp_packets >[630:94077] -A OUTPUT -s 127.0.0.1/32 -j ACCEPT >[4153:839325] -A OUTPUT -s 192.168.50.77/32 -j ACCEPT >[2245:242887] -A OUTPUT -s 192.168.1.2/32 -j ACCEPT >[2:168] -A OUTPUT -o ppp0 -j ACCEPT >[2:168] -A OUTPUT -d 192.168.80.40/32 -j ACCEPT исходящие самому себе? >[0:0] -A OUTPUT -o eth1 -p gre -j ACCEPT >[0:0] -A OUTPUT -o eth1 -p tcp -m tcp --dport 1723 -j >ACCEPT >[0:0] -A OUTPUT -s 192.168.50.0/24 -d 192.168.80.40/32 -j ACCEPT не думаю что это понадобится, но пока оставте >[0:0] -A OUTPUT -s 192.168.80.40/32 -d 192.168.20.30/32 -j ACCEPT по идее до него не должно дойти из-зи -A OUTPUT -o ppp0 -j ACCEPT, но пока оставте и по идее пинги с 192.168.80.40 на 192.168.20.30 должны ходить >[оверквотинг удален] >allowed >[0:0] -A udp_packets -s 192.168.50.0/24 -p udp -m udp --dport 2074 -j >ACCEPT >[0:0] -A udp_packets -s 192.168.50.0/24 -p udp -m udp --dport 4000 -j >ACCEPT >COMMIT ># Completed on Mon Apr 6 16:50:13 2009 > >Пингую (192.168.80.40 и 192.168.20.30) и с сервера (с сервера и при политике >по-умолчанию DROP), и с локалки.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>># Completed on Mon Apr  6 16:50:13 2009 
>># Generated by iptables-save v1.4.0 on Mon Apr  6 16:50:13 2009 
>> 
>>*nat 
>>:PREROUTING ACCEPT [510:31781] 
>>:POSTROUTING ACCEPT [97:7045] 
>>:OUTPUT ACCEPT [96:6985] 
>>[377:18324] -A POSTROUTING -s 192.168.50.0/24 -o eth1 -j SNAT --to-source 192.168.1.2 
>>[0:0] -A POSTROUTING -s 192.168.50.0/24 -d 192.168.80.40/32 -o ppp+ -j SNAT --to-source 
>>192.168.1.2

> бредовое правило, маскировать адресом с eth1, то что должно уйти через ppp+, 
> хорошо что не срабатывало, уберите его.

>>[23:1332] -A POSTROUTING -s 192.168.50.0/24 -d 192.168.80.40/32 -o ppp+ -j SNAT --to-source 
>>192.168.80.40

> 192.168.80.40 это адрес на этой же машине, так? а маскироваться должно то 
> что идет на 192.168.20.30? тогда 
> -A POSTROUTING -s 192.168.50.0/24 -d 192.168.20.30/32 -o ppp+ -j SNAT --to-source 
> 192.168.80.40

>>[оверквотинг удален] 
>>:icmp_packets - [0:0] 
>>:tcp_packets - [0:0] 
>>:udp_packets - [0:0] 
>>[4282:633984] -A INPUT -p tcp -j bad_tcp_packets 
>>[3481:317248] -A INPUT -s 192.168.50.0/24 -i eth2 -j ACCEPT 
>>[630:94077] -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT 
>>[0:0] -A INPUT -s 192.168.50.77/32 -i lo -j ACCEPT 
>>[0:0] -A INPUT -s 192.168.1.2/32 -i lo -j ACCEPT 
>>[123:130379] -A INPUT -i ppp0 -j ACCEPT 
>>[2:168] -A INPUT -s 192.168.80.40/32 -j ACCEPT

> с самого себя?
> -A INPUT -s 192.168.50.0/24 -d 192.168.80.40/32 -j ACCEPT 
> пока без протокола, разрешит из локалки пинговать 192.168.80.40

>>[оверквотинг удален] 
>>[0:0] -A INPUT -i eth2 -p udp -m udp --sport 68 --dport 
>>67 -j ACCEPT 
>>[602:182921] -A INPUT -d 192.168.1.2/32 -m state --state RELATED,ESTABLISHED -j ACCEPT 
>>[21:1634] -A INPUT -i eth1 -p tcp -j tcp_packets 
>>[62:8589] -A INPUT -i eth1 -p udp -j udp_packets 
>>[0:0] -A INPUT -i eth1 -p icmp -j icmp_packets 
>>[52:8415] -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix 
>>"IPT INPUT packet died: " --log-level 7 
>>[7613:3467698] -A FORWARD -p tcp -j bad_tcp_packets 
>>[3905:670908] -A FORWARD -i eth2 -j ACCEPT

> -A FORWARD -o ppp+ -j ACCEPT 
> иначе через ppp+ не разрешено устанавливать соединения 
>>[4103:2828349] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

> только пакеты для установленного соединения 
>>[6:336] -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix 
>>"IPT FORWARD packet died: " --log-level 7 
>>[4904:922103] -A OUTPUT -p tcp -j bad_tcp_packets 
>>[630:94077] -A OUTPUT -s 127.0.0.1/32 -j ACCEPT 
>>[4153:839325] -A OUTPUT -s 192.168.50.77/32 -j ACCEPT 
>>[2245:242887] -A OUTPUT -s 192.168.1.2/32 -j ACCEPT 
>>[2:168] -A OUTPUT -o ppp0 -j ACCEPT 
>>[2:168] -A OUTPUT -d 192.168.80.40/32 -j ACCEPT

> исходящие самому себе?

>>[0:0] -A OUTPUT -o eth1 -p gre -j ACCEPT 
>>[0:0] -A OUTPUT -o eth1 -p tcp -m tcp --dport 1723 -j 
>>ACCEPT 
>>[0:0] -A OUTPUT -s 192.168.50.0/24 -d 192.168.80.40/32 -j ACCEPT

> не думаю что это понадобится, но пока оставте 
>>[0:0] -A OUTPUT -s 192.168.80.40/32 -d 192.168.20.30/32 -j ACCEPT

> по идее до него не должно дойти из-зи 
> -A OUTPUT -o ppp0 -j ACCEPT, но пока оставте и по идее 
> пинги с 192.168.80.40 на 192.168.20.30 должны ходить

>>[оверквотинг удален] 
>>allowed 
>>[0:0] -A udp_packets -s 192.168.50.0/24 -p udp -m udp --dport 2074 -j 
>>ACCEPT 
>>[0:0] -A udp_packets -s 192.168.50.0/24 -p udp -m udp --dport 4000 -j 
>>ACCEPT 
>>COMMIT 
>># Completed on Mon Apr  6 16:50:13 2009 
>> 
>>Пингую (192.168.80.40 и 192.168.20.30) и с сервера (с сервера и при политике 
>>по-умолчанию DROP), и с локалки.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру