реклама на сайте
подробности
 
 Wiki Wiki  Photo Photo  Forum Forum  Reviews Reviews  Help (!) Help (!)
 
 
 Reply to this topicStart new topic
> Помощь с iptables
masics
сообщение Jan 24 2016, 09:23
Сообщение #1


Местный
***

Группа: Свой
Сообщений: 399
Регистрация: 21-02-05
Из: Melbourne, Australia
Пользователь №: 2 779
У меня есть Linux машина с настроенным VPN. Я хочу её использовать как gateway для всех моих домашних компьютеров. Но я что-то запутался как мне это сделать.
192.168.5.123 - локальный адрес сервера
Конфигурация iptables:
Код
-P INPUT ACCEPT -c 0 0
-P FORWARD ACCEPT -c 0 0
-P OUTPUT ACCEPT -c 0 0
-N ciscovpn
-A INPUT -c 35 7953 -j ciscovpn
-A INPUT -m state --state RELATED,ESTABLISHED -c 980 167799 -j ACCEPT
-A INPUT -p icmp -c 0 0 -j ACCEPT
-A INPUT -i lo -c 43 1858 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -c 3 200 -j ACCEPT
-A INPUT -c 468 44895 -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -c 0 0 -j ciscovpn
-A FORWARD -c 0 0 -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -c 37 8240 -j ciscovpn
-A ciscovpn -m state --state RELATED,ESTABLISHED -c 67 15625 -j ACCEPT
-A ciscovpn -o lo+ -c 0 0 -j ACCEPT
-A ciscovpn -i lo+ -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 68 --dport 67 -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 67 --dport 68 -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 546 --dport 547 -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 547 --dport 546 -c 0 0 -j ACCEPT
-A ciscovpn -s 192.168.5.123/32 -d vpn.vpn.vpn.vpn/32 -o eth3 -p tcp -m tcp --dport 443 -c 0 0 -j ACCEPT
-A ciscovpn -s vpn.vpn.vpn.vpn/32 -d 192.168.5.123/32 -i eth3 -p tcp -m tcp --sport 443 -c 0 0 -j ACCEPT
-A ciscovpn -s 192.168.5.123/32 -d vpn.vpn.vpn.vpn/32 -o eth3 -p udp -m udp --dport 443 -c 3 381 -j ACCEPT
-A ciscovpn -s vpn.vpn.vpn.vpn/32 -d 192.168.5.123/32 -i eth3 -p udp -m udp --sport 443 -c 0 0 -j ACCEPT
-A ciscovpn -s 192.168.5.123/32 -o eth3 -p udp -m udp --dport 53 -c 0 0 -j DROP
-A ciscovpn -s 192.168.5.123/32 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -d 192.168.5.123/32 -i eth3 -p udp -m udp --sport 53 -c 0 0 -j DROP
-A ciscovpn -d 192.168.5.123/32 -i eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.0/24 -d 192.168.5.255/32 -i eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 192.168.5.255/32 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.0/24 -d 224.0.0.251/32 -i eth3 -p udp -m udp --dport 5353 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 224.0.0.251/32 -o eth3 -p udp -m udp --dport 5353 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.0/24 -d 239.255.255.250/32 -i eth3 -p udp -m udp --dport 1900 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 239.255.255.250/32 -o eth3 -p udp -m udp --dport 1900 -c 0 0 -j RETURN
-A ciscovpn -d 224.0.0.0/4 -i eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 224.0.0.0/4 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -d 255.255.255.255/32 -i eth3 -c 2 187 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 255.255.255.255/32 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -s 172.27.194.13/32 -d 10.26.0.0/16 -o cscotun0 -c 0 0 -j RETURN
-A ciscovpn -s 10.26.0.0/16 -d 172.27.194.13/32 -i cscotun0 -c 0 0 -j RETURN
-A ciscovpn -s 172.27.194.13/32 -o cscotun0 -p udp -m udp --dport 53 -c 0 0 -j RETURN
-A ciscovpn -d 172.27.194.13/32 -i cscotun0 -p udp -m udp --sport 53 -c 0 0 -j RETURN
-A ciscovpn -d 255.255.255.255/32 -i cscotun0 -c 0 0 -j RETURN
-A ciscovpn -s 172.27.194.13/32 -d 255.255.255.255/32 -o cscotun0 -c 0 0 -j RETURN
-A ciscovpn -o cscotun0 -c 0 0 -j DROP
-A ciscovpn -i cscotun0 -c 0 0 -j DROP



На моём роутере я задам static rounting 10.0.0.0/8 через 192.168.5.123

Помогите, пожалуйста!
Go to the top of the page
 
+Quote Post
krux
сообщение Jan 24 2016, 13:56
Сообщение #2


Профессионал
*****

Группа: Свой
Сообщений: 1 700
Регистрация: 2-07-12
Из: дефолт-сити
Пользователь №: 72 596
вы домашние компьютеры через NAT собрались в VPN выпускать?
тогда если чтоб почти совсем ничего не настраивать, то

Код
iptables -t nat -A POSTROUTING -o $VPNIFACE -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT

где VPNIFACE - поднятый интерфейс VPN

этого в 95% случаев будет достаточно


--------------------
провоцируем неудовлетворенных провокаторов с удовольствием.
Go to the top of the page
 
+Quote Post
masics
сообщение Jan 24 2016, 22:38
Сообщение #3


Местный
***

Группа: Свой
Сообщений: 399
Регистрация: 21-02-05
Из: Melbourne, Australia
Пользователь №: 2 779
Цитата(krux @ Jan 25 2016, 00:56) *
вы домашние компьютеры через NAT собрались в VPN выпускать?
тогда если чтоб почти совсем ничего не настраивать, то

Код
iptables -t nat -A POSTROUTING -o $VPNIFACE -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT

где VPNIFACE - поднятый интерфейс VPN

этого в 95% случаев будет достаточно

Судя по всему, у меня 5%. Пинги не проходят.
Go to the top of the page
 
+Quote Post
masics
сообщение Jan 25 2016, 06:44
Сообщение #4


Местный
***

Группа: Свой
Сообщений: 399
Регистрация: 21-02-05
Из: Melbourne, Australia
Пользователь №: 2 779
Я убрал последние 2 строчки из конфигурации и всё заработало!
Go to the top of the page
 
+Quote Post
 

Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

RSS Текстовая версия Сейчас: 6th July 2025 - 00:23
Рейтинг@Mail.ru


Страница сгенерированна за 0.01383 секунд с 7
ELECTRONIX ©2004-2016