Внутри сети стоит сервер под win2000 на выходе линукс, как маршрутизатор. Задача - на внутреннем сервере установлен SQL (на нем так же будет стоять VPN сервер) - требуется извне через VPN к нему подключаться. На линуксе настроена поддержка PPTP, те он маскарадит vpn трафик (изнутри клиенты на win98 поднимают у себя VPN и работают с терминалами для бронирования билетов через интернет), непонятно как из вне пробраться до внутреннего сервера..единственное что приходит в голову вешать на роутере редиректор порта...типа на порт Х приходит пакет,он его перекидывает на внутренний сервер..на порт vpn сервера (47 вроде)...может есть способ лучше и правильней ?Спасибо.
>Внутри сети стоит сервер под win2000 на выходе линукс, как маршрутизатор. Задача
>- на внутреннем сервере установлен SQL (на нем так же будет
>стоять VPN сервер) - требуется извне через VPN к нему
>подключаться. На линуксе настроена поддержка PPTP, те он маскарадит vpn трафик
>(изнутри клиенты на win98 поднимают у себя VPN и работают с
>терминалами для бронирования билетов через интернет), непонятно как из вне пробраться
>до внутреннего сервера..единственное что приходит в голову вешать на роутере редиректор
>порта...типа на порт Х приходит пакет,он его перекидывает на внутренний сервер..на
>порт vpn сервера (47 вроде)...может есть способ лучше и правильней ?MS PPTP имеет две составляющих - управляющее соединение TCP/1723 и канал данных (шифрованный и может быть сжатый MPPE/MPPC) - IP type 47 (GRE). Вот эти две вещи и надо пропустить через файрволл (по идее, PPTP через NAT поддерживается, т.е. нужно разрещить прохождение ip 47 через FORWARD). А прокидывать вовнутрь - средствами DNAT, опять же.
>(шифрованный и может быть сжатый MPPE/MPPC) - IP type 47 (GRE).
>Вот эти две вещи и надо пропустить через файрволл (по идее,
>PPTP через NAT поддерживается, т.е. нужно разрещить прохождение ip 47 через
>FORWARD). А прокидывать вовнутрь - средствами DNAT, опять же.Средствами ната это как ? а ipchains который стоит не умеет порты перебрасывть на другой хост...NAT то вроде ядром реализуется...или я не догоняю чего..?
Спасибо
>Средствами ната это как ? а ipchains который стоит не умеет порты
>перебрасывть на другой хост...NAT то вроде ядром реализуется...или я не догоняю
>чего..?
>
>СпасибоДальний редирект умеет делать iptables, ipchains умеет редиректить порты только в пределах самого себя. Для примера могу дать пример проброса порта если есть желание.
>>Средствами ната это как ? а ipchains который стоит не умеет порты
>>перебрасывть на другой хост...NAT то вроде ядром реализуется...или я не догоняю
>>чего..?
>>
>
>Дальний редирект умеет делать iptables, ipchains умеет редиректить порты только в пределах
>самого себя. Для примера могу дать пример проброса порта если есть
>желание.Про это я знаю..но на Iptables переходить не буду...видио воспользуюсь программой какой либо по переброске...
Ну, imho, сохранять верность ipchains имеет смысл, только если какие-то очень нужные вещи поддерживаются только ядром 2.2.x, в остальных случаях, если переход на 2.4.x возможен, стоит перейти на него и на iptables - слишком много плюсов. Это мое частное мнение, естественно :)
>Ну, imho, сохранять верность ipchains имеет смысл, только если какие-то очень нужныеА разве ipchains не замена iptables ? смысле смена линуксом iptables на ipchains...
>>Ну, imho, сохранять верность ipchains имеет смысл, только если какие-то очень нужные
>
>А разве ipchains не замена iptables ? смысле смена линуксом iptables на
>ipchains...AFAIK, наоборот :))))
А все таки если я буду перебрасывать весь трафик приходящий на 1723 порт с помощью например rinetd на внутренний сервер..на 1723 порт его, получиться у меня так vpn канал сделать ? форвардить vpn (gre) ядро умеет