Народ помогите , надо пробросить VPN c реального ипа на внутренний сервак
стоит Linux SUSE (как почтовик и веб, NATa на нем нету, тольо фаервол iptables), подскажите как через iptables прокинуть порт vpn
ip внешний 62.117.107.40
ip внутренний 10.103.111.2

• Пробросить порт PPTP на внутренний сервер с помшью iptables,ipmanyak, 17:23 , 15-Дек-08
  • Пробросить порт PPTP на внутренний сервер с помшью iptables,ono, 17:53 , 15-Дек-08
    • Пробросить порт PPTP на внутренний сервер с помшью iptables,Doc, 08:15 , 16-Дек-08
      • Пробросить порт PPTP на внутренний сервер с помшью iptables,antony, 09:00 , 16-Дек-08
        • Пробросить порт PPTP на внутренний сервер с помшью iptables,Doc, 10:39 , 16-Дек-08
          • Пробросить порт PPTP на внутренний сервер с помшью iptables,Mr_Dee, 15:58 , 16-Дек-08
            • Пробросить порт PPTP на внутренний сервер с помшью iptables,Doc, 16:46 , 16-Дек-08
              • Пробросить порт PPTP на внутренний сервер с помшью iptables,Mr_Dee, 17:07 , 16-Дек-08
              • Пробросить порт^Wпротокол PPTP,Andrey Mitrofanov, 17:33 , 16-Дек-08
• с помшью iptables... не уронить, не уронить, не уронить...,Andrey Mitrofanov, 17:38 , 16-Дек-08

>Народ помогите , надо пробросить VPN c реального ипа на внутренний сервак
>
>стоит Linux SUSE (как почтовик и веб, NATa на нем нету, тольо
>фаервол iptables), подскажите как через iptables прокинуть порт vpn
>ip внешний 62.117.107.40
>ip внутренний 10.103.111.2

http://www.impsec.org/linux/masquerade/ip_masq_vpn.html
PPTP (1723/tcp and 47/ip):
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 192.168.0.5
/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j DNAT --to 192.168.0.5
...where 192.168.0.5 is the local-network IP address of the PPTP server.

это будет работать при условии, что шлюзом по-умолчанию у vpn сервера является 10.103.111.2

в противном случае еще надо добавить
/sbin/iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.5 -j SNAT --to-source 10.103.111.2

где 192.168.0.5 все тот же локальный vpn сервер

>это будет работать при условии, что шлюзом по-умолчанию у vpn сервера является
>10.103.111.2
>
>в противном случае еще надо добавить
>/sbin/iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.5 -j SNAT --to-source
>10.103.111.2
>
>где 192.168.0.5 все тот же локальный vpn сервер

вроде сделал ... повсей видимости цепочка заработала так как соединение проваливаеться до проверки логина и пароля
если я правельно подимаю в этой цепочке используеться нат,
тоесть сервер на который я пробрасываю порт vpn всегда получает при коннекте ИП линуксового сервака? (это к вопросу о разрешени коннекта ка серваке VPN)

и ещё но после выполнения комманды почемуто через iptables -L я невижу эти цепочки в списке?

komplexb:~ # iptables -t nat -A POSTROUTING -p tcp --dst 10.103.111.2 -j SNAT --to-source 10.111.2.100
komplexb:~ # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:ACK/ACK
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp
ACCEPT     tcp  --  213.221.6.0/24       anywhere            tcp multiport dports ssh,44337,ndmp,mysql
ACCEPT     tcp  --  10.111.2.25          anywhere            tcp multiport dports ssh,44337,ndmp,mysql
ACCEPT     all  --  10.103.111.2         anywhere
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain dpts:1024:65535
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:iad1

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere            !10.111.0.0/16       tcp dpt:ftp
ACCEPT     tcp  --  anywhere             komplexb.butovonet.ru tcp dpt:http
ACCEPT     tcp  --  anywhere             nai-update.kerio.com tcp dpt:http
ACCEPT     tcp  --  anywhere             localhost           tcp dpt:http
ACCEPT     tcp  --  anywhere             217.16.18.197       tcp dpt:http
ACCEPT     tcp  --  anywhere             vhost.sourceforge.net tcp dpt:http
DROP       tcp  --  anywhere             anywhere            tcp dpt:http
DROP       tcp  --  anywhere             anywhere            tcp dpt:30375
DROP       tcp  --  anywhere             anywhere            tcp dpt:ums
ACCEPT     all  --  anywhere             anywhere
komplexb:~ #

P.S. ип сервера VPN 10.103.111.2 а ип второго инетерфейса у линуксового севрера 10.111.2.100

>[оверквотинг удален]
> anywhere          
>  tcp dpt:ums
>ACCEPT     all  --  anywhere  
>          anywhere
>
>komplexb:~ #
>
>
>P.S. ип сервера VPN 10.103.111.2 а ип второго инетерфейса у линуксового севрера
>10.111.2.100

iptables -t nat -L

>[оверквотинг удален]
>>ACCEPT     all  --  anywhere  
>>          anywhere
>>
>>komplexb:~ #
>>
>>
>>P.S. ип сервера VPN 10.103.111.2 а ип второго инетерфейса у линуксового севрера
>>10.111.2.100
>
>iptables -t nat -L

проброс вроде работает, но вот застревает на проверке пользователя и пароля походу ещё какогто порта или протокола нехватет
VPN сервер на винде пишит вот что:
Связь между VPN-сервером и VPN-клиентом 10.111.2.100 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты.

хотя вроде он проброшен , и если я настраиваю PPTP c линусового сервака то коннект проходит на ура... может ещё какй-то порт\протокол надо пробросить? (всю таблицу ipfiltr на линусовом серваке я отрубал ... та кчто дело не вней ...

/sbin/sysctl net.ipv4.ip_forward=1

>/sbin/sysctl net.ipv4.ip_forward=1

конечно есть :)

заработало когда изменил правило iptables -t nat -A POSTROUTING -p tcp --dst 10.103.111.2
-j SNAT --to-source 10.111.2.100
на
iptables -t nat -A POSTROUTING --dst 10.103.111.2 -j SNAT --to-source 10.111.2.100

>>/sbin/sysctl net.ipv4.ip_forward=1
>
>конечно есть :)
>
>
>заработало когда изменил правило iptables -t nat -A POSTROUTING -p tcp --dst
>10.103.111.2
> -j SNAT --to-source 10.111.2.100
> на
>iptables -t nat -A POSTROUTING --dst 10.103.111.2 -j SNAT --to-source 10.111.2.100

/sbin/iptables -A POSTROUTING -t nat -p all -s local_ip -j SNAT -o eth0 --to-source external_ip

тут более понятно все кто источник local_ip натятся через интрфейс eth0 под ip адресом external_ip
,
у тебя как то странно получается всё что назначено для отдального ip превращать в другой ip

если нужно редиректить порты , то можно воспользоваться DNAT

>заработало когда изменил

Это  просто ужас какой-то. %-O Сразу написать, как ипманьяк в первой реплике написал, -- никак? Или оно и так "не захотело"?...

+http:/openforum/vsluhforumID10/4075.html

>надо пробросить VPN c реального ипа на внутренний сервак
>стоит Linux

Совсем забыл: google.ru + pptp dnat site:opennet.ru + ENTER, вот.