URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87612
[ Назад ]

Исходное сообщение
"перенаправление порта из виртуальной сети VPN на локальную маши"
Отправлено pushkin13 , 14-Дек-09 18:18

ситуация такова:
есть сервак CENTOS 5.2 на нем поднято VPN сервер (витруальна сеть 10.10.1.0/24)
есть 2 интерфейса один смотрит в локалку eth0(192.168.0.10) второй в нет eth1(194.ххх.xxx.251)
нужно, чтобы пакеты которые идут из интерфейса 10.10.1.0/24 по порту 5555 перенаправляться на
машину в локальной сети IP 192.168.0.55 на порт 9999

подскажите что нужно прописать в iptables

Содержание

перенаправление порта из виртуальной сети VPN на локальную м...,ze6ra, 20:46 , 14-Дек-09
- перенаправление порта из виртуальной сети VPN на локальную м...,pushkin13, 10:12 , 15-Дек-09
  - перенаправление порта из виртуальной сети VPN на локальную м...,ze6ra, 15:22 , 15-Дек-09
    - перенаправление порта из виртуальной сети VPN на локальную м...,pushkin13, 15:33 , 15-Дек-09
      - перенаправление порта из виртуальной сети VPN на локальную м...,ze6ra, 15:55 , 15-Дек-09
        
        перенаправление порта из виртуальной сети VPN на локальную м...,pushkin13, 16:20 , 15-Дек-09
        
        перенаправление порта из виртуальной сети VPN на локальную м...,ze6ra, 16:44 , 15-Дек-09
        
        перенаправление порта из виртуальной сети VPN на локальную м...,pushkin13, 16:55 , 15-Дек-09
        
        перенаправление порта из виртуальной сети VPN на локальную м...,ze6ra, 19:27 , 15-Дек-09
        
        перенаправление порта из виртуальной сети VPN на локальную м...,pushkin13, 13:52 , 16-Дек-09
        
        перенаправление порта из виртуальной сети VPN на локальную м...,pushkin13, 20:03 , 14-Янв-10

Сообщения в этом обсуждении

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено ze6ra , 14-Дек-09 20:46

>ситуация такова:
>есть сервак CENTOS 5.2 на нем поднято VPN сервер (витруальна сеть 10.10.1.0/24)
>
>есть 2 интерфейса один смотрит в локалку eth0(192.168.0.10) второй в нет eth1(194.ххх.xxx.251)
>
>нужно, чтобы пакеты которые идут из интерфейса 10.10.1.0/24 по порту 5555 перенаправляться
>на
>машину в локальной сети IP 192.168.0.55 на порт 9999
>
>подскажите что нужно прописать в iptables
iptables -t nat -A PREROUTING -i <iface> -p tcp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999
iptables -t nat -A PREROUTING -i <iface> -p udp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено pushkin13 , 15-Дек-09 10:12

>iptables -t nat -A PREROUTING -i <iface> -p tcp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999
>iptables -t nat -A PREROUTING -i <iface> -p udp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999
не идёт
нужно, чтобы пользователе VPN сети могли отсылать почту через внутренний
локальный сервер(192.168.0.55:25) на клиентах прописываю Smtp=10.10.1.1:2525
на VPN сервере перекидка с 2525 на 192.168.0.55:25
я делаю
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j DNAT --to-destination 192.168.0.55:25
iptables -t nat -A PREROUTING -i ppp+ -p udp --dport 2525 -j DNAT --to-destination 192.168.0.55:25
до этих действий почтовый клиент при проверке учетной записи выдает 1 ошибку:
1.типa не может отправить тестовое сообщение но сервер найден
после этих действий 2 ошибки:
1.не найден сервер исходной почты
2.не может отправить тестовое сообщение
вот что прописано в iptables до этих действий
[root@linux-vpn ~]# iptables -t nat --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
You have new mail in /var/spool/mail/root
[root@linux-vpn ~]#
[root@linux-vpn ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1723
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2525
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5901
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6112
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6112
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6128
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6129
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6129
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8282
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:18768
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
[root@linux-vpn ~]#

после этих действий

[root@linux-vpn ~]# iptables -t nat --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:ms-v-worlds to:192.168.0.29:25
DNAT       udp  --  anywhere             anywhere            udp dpt:ms-v-worlds to:192.168.0.29:25
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@linux-vpn ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1723
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2525
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5901
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6112
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6112
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6128
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6129
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6129
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8282
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:18768
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
[root@linux-vpn ~]#
что это может значить?

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено ze6ra , 15-Дек-09 15:22

>нужно, чтобы пользователе VPN сети могли отсылать почту через внутренний
>локальный сервер(192.168.0.55:25) на клиентах прописываю Smtp=10.10.1.1:2525
>на VPN сервере перекидка с 2525 на 192.168.0.55:25
>
Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25
>я делаю
>iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j
>DNAT --to-destination 192.168.0.55:25
>iptables -t nat -A PREROUTING -i ppp+ -p udp --dport 2525 -j
>DNAT --to-destination 192.168.0.55:25
>
почта только tcp строчку про udp можно удалить.
>до этих действий почтовый клиент при проверке учетной записи выдает 1 ошибку:
>
>1.типa не может отправить тестовое сообщение но сервер найден
>
>после этих действий 2 ошибки:
>1.не найден сервер исходной почты
>2.не может отправить тестовое сообщение
>
а smtp сервер знает где где клиента искать.
smtp текстовый протокол так что можно проверить telnetом, ну и как обычно tcpdump и смотреть что и как и куда побежало.
Да и вообще вы что-то перемудрили с портами и перенаправлениями.

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено pushkin13 , 15-Дек-09 15:33

>Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25
потому что все ВПН клиенты находятся не в офисе а на за 30-200км и я не хочу, чтобы отдаленные клиенты видели локалку офиса
но хочу, чтобы они отправляли почту через офисный сервер
так как некоторые провайдеры не предоставляют SMTP сервера

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено ze6ra , 15-Дек-09 15:55

>>Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25
>
>потому что все ВПН клиенты находятся не в офисе а на за
>30-200км и я не хочу, чтобы отдаленные клиенты видели локалку офиса
>
а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать.
проще фаервол на сервере настроить который разрешит доступ из vpn только на на 192.168.0.55 и только на 25 порт.
Точно перемудрили сложность повысили, а безопасность ничуть.
>но хочу, чтобы они отправляли почту через офисный сервер
>так как некоторые провайдеры не предоставляют SMTP сервера
да они вроде и не обязаны этого делать.

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено pushkin13 , 15-Дек-09 16:20

>а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать
интересно как он увидит если шлюз не 10.10.1.1 а провайдера
>проще фаервол на сервере настроить который разрешит доступ из vpn только на на 192.168.0.55 и только на 25 порт.
для этого нужно, чтобы шлюзом был 10.10.1.1 а есть провайдера

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено ze6ra , 15-Дек-09 16:44

>>а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать
>
>интересно как он увидит если шлюз не 10.10.1.1 а провайдера
и причём здесь шлюз, ему достаточно прописать что маршрут до вашей внутреней сети лежит через vpn. Достаточно одной команды.
>для этого нужно, чтобы шлюзом был 10.10.1.1 а есть провайдера
Почитайте что нибудь основам сетей.

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено pushkin13 , 15-Дек-09 16:55

>и причём здесь шлюз, ему достаточно прописать что маршрут до вашей внутреней сети лежит через vpn. Достаточно одной команды.
неужели ты думаешь что юзер который не знает что такое СМД пропишет маршрут - неа
>Почитайте что нибудь основам сетей.
извиняюсь за тупость, но я - самоучка работаю сис.адм 3 года
ПОМОГИТЕ НАСТРОИТЬ ТАК КАК МНЕ НАДА

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено ze6ra , 15-Дек-09 19:27

>неужели ты думаешь что юзер который не знает что такое СМД пропишет
>маршрут - неа
я же говорил что грамотный пользователь, такие тоже бывают :)
>извиняюсь за тупость, но я - самоучка работаю сис.адм 3 года
>
>ПОМОГИТЕ НАСТРОИТЬ ТАК КАК МНЕ НАДА
ну за три то года tcpdump и telnet можно было и подучить, да и про smtp можно хотяб статью в википедеи почитать.
как порты в iptables пренапрвлять вам уже показывали, и поскольку простым путём идти вы не хотите то включайте уже мозг, руки переставляйте в район плеч, запускайте tcpdump анализируйте вывод, задавайте нормальные вопросы вам и ответят.
А то в варианте уменя нечего не рабтало, я добавил эти строчки и снова не работает, но както по другому, вам помочь сложно, да и не особо хочется.

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено pushkin13 , 16-Дек-09 13:52

вот что пишит tcpdump когда я проверяю почтовый ящик
[root@linux-vpn ~]# tcpdump -ni ppp22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp22, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
12:42:36.073297 IP 10.10.1.10.4181 > 10.10.1.1.ms-v-worlds: S 1358320223:1358320223(0) win 16384 <mss 1360,nop,nop,sackOK>
12:42:39.020792 IP 10.10.1.10.4181 > 10.10.1.1.ms-v-worlds: S 1358320223:1358320223(0) win 16384 <mss 1360,nop,nop,sackOK>
12:42:41.112423 IP 10.10.1.10.4184 > 10.10.1.1.ms-v-worlds: S 2390525074:2390525074(0) win 16384 <mss 1360,nop,nop,sackOK>
12:42:44.143428 IP 10.10.1.10.4184 > 10.10.1.1.ms-v-worlds: S 2390525074:2390525074(0) win 16384 <mss 1360,nop,nop,sackOK>
4 packets captured
8 packets received by filter
0 packets dropped by kernel
а вот ето он выдаёт до
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j DNAT --to-destination 192.168.0.55:25

[root@linux-vpn ~]# tcpdump -i ppp22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp22, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:32:24.850651 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.077586 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1437413014 win 0
13:32:25.352230 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.352257 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1 win 0
13:32:25.855214 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.855242 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1 win 0
13:32:25.914570 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.914605 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1001199292 win 0
13:32:26.358166 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:26.358195 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1 win 0
13:32:26.861200 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:26.861229 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1 win 0
12 packets captured
24 packets received by filter
0 packets dropped by kernel
что ето значит????

"перенаправление порта из виртуальной сети VPN на локальную м..."
Отправлено pushkin13 , 14-Янв-10 20:03

всё рещил. переписал iptables ручками буз использования графического интефейса и всё пошло
спасибо за помощь