URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92403
[ Назад ]
Исходное сообщение
"shorewall и DNAT-  нужна помощь"
Отправлено yuriy_it_uz , 07-Окт-11 15:02 
Есть шлюз в нет. На нем настроен shorewall. Задача: пробросить порт tcp 1723 (pptp) из локальной сети наружу. У шлюза внутренний ip 10.25.1.100 + к шлюзу есть доступ из филиалов у которых своя серая сеть (например 10.25.4.0/24). На шлюзе прописаны статические маршруты к филиалам. Создаю правило:
ACTION SOURCE         DEST         PROTO DEST SOURCE   ORIGINAL
                                         PORT  PORT      DEST
DNAT-  lan:10.25.4.1  net:1.2.3.4  tcp   1723   -    10.25.1.100

На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле указать не филиальную машину, а машину из родной сети в которой шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда копать, если кто сталкивался. Благодарю

Содержание
Сообщения в этом обсуждении
"shorewall и DNAT-  нужна помощь"
Отправлено Aquarius , 07-Окт-11 17:23 
>[оверквотинг удален]
>        PORT  PORT  
>     DEST
> DNAT-  lan:10.25.4.1  net:1.2.3.4  tcp   1723  
> -    10.25.1.100
> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
> указать не филиальную машину, а машину из родной сети в которой
> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
> копать, если кто сталкивался. Благодарю

читать, что такое PPTP

"shorewall и DNAT-  нужна помощь"
Отправлено yuriy_it_uz , 07-Окт-11 17:48 
>[оверквотинг удален]
>>     DEST
>> DNAT-  lan:10.25.4.1  net:1.2.3.4  tcp   1723
>> -    10.25.1.100
>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
>> указать не филиальную машину, а машину из родной сети в которой
>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>> копать, если кто сталкивался. Благодарю
> читать, что такое PPTP

Я написал что касаемо pptp... из филиалов не работает проброс любых портов (например smtp, pop3), а из машины "своей" сетки работает без проблем

"shorewall и DNAT-  нужна помощь"
Отправлено reader , 07-Окт-11 22:00 
>[оверквотинг удален]
>>> -    10.25.1.100
>>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
>>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
>>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
>>> указать не филиальную машину, а машину из родной сети в которой
>>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>>> копать, если кто сталкивался. Благодарю
>> читать, что такое PPTP
> Я написал что касаемо pptp... из филиалов не работает проброс любых портов
> (например smtp, pop3), а из машины "своей" сетки работает без проблем

так покажите все правила iptables-save

"shorewall и DNAT-  нужна помощь"
Отправлено Aquarius , 08-Окт-11 14:01 
>[оверквотинг удален]
>>> -    10.25.1.100
>>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
>>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
>>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
>>> указать не филиальную машину, а машину из родной сети в которой
>>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>>> копать, если кто сталкивался. Благодарю
>> читать, что такое PPTP
> Я написал что касаемо pptp... из филиалов не работает проброс любых портов
> (например smtp, pop3), а из машины "своей" сетки работает без проблем

не писать, а именно читать, и не "что касаемо pptp", а что из себя представляет PPTP

P.S. еще для TCP нужен NAT для ответного трафика
P.P.S. не помню, как именно это называется в shorewall

"shorewall и DNAT-  нужна помощь"
Отправлено yuriy_it_uz , 10-Окт-11 13:08 
>[оверквотинг удален]
>>>> указать не филиальную машину, а машину из родной сети в которой
>>>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>>>> копать, если кто сталкивался. Благодарю
>>> читать, что такое PPTP
>> Я написал что касаемо pptp... из филиалов не работает проброс любых портов
>> (например smtp, pop3), а из машины "своей" сетки работает без проблем
> не писать, а именно читать, и не "что касаемо pptp", а что
> из себя представляет PPTP
> P.S. еще для TCP нужен NAT для ответного трафика
> P.P.S. не помню, как именно это называется в shorewall

Закрываю тему! В документации по shorewall-у DNAT используется всюду как проброс портов из интернета в локальную сеть, а DNAT- как проброс портов из локальной сети в интернет. Но путем эксперимента установил, что DNAT без проблем пробросил pptp из филиальной машины в интернет. Все заработало как надо. Спасибо за участие. Может кому-то пригодится!


"shorewall и DNAT-  нужна помощь"
Отправлено Aquarius , 11-Окт-11 20:00 
> Закрываю тему! В документации по shorewall-у DNAT используется всюду как проброс портов

                                               ^^^^
> из интернета в локальную сеть, а DNAT- как проброс портов из

                                   ^^^^
только мне кажется, что что-то здесь не так?

"shorewall и DNAT-  нужна помощь"
Отправлено yuriy_it_uz , 14-Окт-11 12:44 
>[оверквотинг удален]
>            
>            
>            
>   ^^^^
>> из интернета в локальную сеть, а DNAT- как проброс портов из
>            
>            
>            
>  ^^^^
> только мне кажется, что что-то здесь не так?

Извиняюсь написал не понятно... параметр "DNAT" - одно, а "DNAT-" - другое