Подскажите какое правило мне написать в iptables(linux debian) чтобы пробросить порт с vpn сервера с адресом 192.168.2.6/24 из локальной сети в интернет. Но так чтобы доступ к нему был не у всех, а только у тех адресов которые там прописаны.
> Подскажите какое правило мне написать в iptables(linux debian) чтобы пробросить порт с
> vpn сервера с адресом 192.168.2.6/24 из локальной сети в интернет. Но
> так чтобы доступ к нему был не у всех, а только
> у тех адресов которые там прописаны.проброс делается с помощью dnat если конечно вам именно проброс нужен, из описания не понятно что вам нужно
Документацию по iptables на этом сайте попробуйте прочитать. Возможно, этот и следующие вопросы отпадут сами собой. Или Вы так и собираетесь по каждому правилу, которое Вам необходимо на форум обращаться?
> Подскажите какое правило мне написать в iptables(linux debian) чтобы пробросить порт с
> vpn сервера с адресом 192.168.2.6/24 из локальной сети в интернет. Но
> так чтобы доступ к нему был не у всех, а только
> у тех адресов которые там прописаны.м/б из инета порт к серому ВПН-серверу ч/з шлюз пробросить пробросить надо? тогда так:
iptables -t nat -A PREROUTING -i WAN_IF -p tcp -s x.x.x.x -d WAN_IP --dport 1723 -j DNAT --to-destination 192.168.2.6
WAN_IF - имя внешнего интерфейса шлюза
WAN_IP - внешний ИП шлюза
x.x.x.x - ИП, с которого соединения к локальному ВПН-серверу пробрасываться должны.разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter.
>[оверквотинг удален]
>> так чтобы доступ к нему был не у всех, а только
>> у тех адресов которые там прописаны.
> м/б из инета порт к серому ВПН-серверу ч/з шлюз пробросить пробросить надо?
> тогда так:
> iptables -t nat -A PREROUTING -i WAN_IF -p tcp -s x.x.x.x -d
> WAN_IP --dport 1723 -j DNAT --to-destination 192.168.2.6
> WAN_IF - имя внешнего интерфейса шлюза
> WAN_IP - внешний ИП шлюза
> x.x.x.x - ИП, с которого соединения к локальному ВПН-серверу пробрасываться должны.
> разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter.это только управление, а где GRE?
>[оверквотинг удален]
>>> у тех адресов которые там прописаны.
>> м/б из инета порт к серому ВПН-серверу ч/з шлюз пробросить пробросить надо?
>> тогда так:
>> iptables -t nat -A PREROUTING -i WAN_IF -p tcp -s x.x.x.x -d
>> WAN_IP --dport 1723 -j DNAT --to-destination 192.168.2.6
>> WAN_IF - имя внешнего интерфейса шлюза
>> WAN_IP - внешний ИП шлюза
>> x.x.x.x - ИП, с которого соединения к локальному ВПН-серверу пробрасываться должны.
>> разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter.
> это только управление, а где GRE?вот:
"разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter"1)
[root@local netfilter]# uname -a
Linux local 2.6.17-1.2142_FC4 #1 Tue Jul 11 22:41:14 EDT 2006 i686 athlon i386 GNU/Linux
[root@local netfilter]# pwd
/lib/modules/2.6.17-1.2142_FC4/kernel/net/netfilter
[root@local netfilter]# ls|grep pp
[root@local netfilter]# ls|grep gre2)
[root@localhost netfilter]# uname -a
Linux localhost.localdomain 3.4.6-2.fc17.i686.PAE #1 SMP Thu Jul 19 21:49:03 UTC 2012 i686 i686 i386 GNU/Linux
[root@localhost netfilter]# pwd
/lib/modules/3.4.6-2.fc17.i686.PAE/kernel/net/netfilter
[root@localhost netfilter]# ls|grep pptp
nf_conntrack_pptp.ko
[root@localhost netfilter]# ls|grep gre
nf_conntrack_proto_gre.koИтого:
1)
на современных системах достаточно проброса управляющего соединения - остальное на себя возьмут conntrack-модули2)
что там за дебиан у автора стоит и что в нем есть неизвестно => толку 0 давать конкретный совет по реализации форварда и подгрузки модулей iptables, пока ситуация не прояснится3)
исходя из вышесказанного был дан общий совет, в какую сторону смотреть для решения вопроса. если человек, роя в этом направлении, сам разберется - значит хорошо, если нет - значит задавая доп. вопросы уже чуть-чуть будет понимать о чем речь идет
>[оверквотинг удален]
> возьмут conntrack-модули
> 2)
> что там за дебиан у автора стоит и что в нем есть
> неизвестно => толку 0 давать конкретный совет по реализации форварда и
> подгрузки модулей iptables, пока ситуация не прояснится
> 3)
> исходя из вышесказанного был дан общий совет, в какую сторону смотреть для
> решения вопроса. если человек, роя в этом направлении, сам разберется -
> значит хорошо, если нет - значит задавая доп. вопросы уже чуть-чуть
> будет понимать о чем речь идетВсем спасибо. я разобрался с настройками iptables. и сейчас vpn подключение с разрешенных адресов работает нормально. И GRE тоже настроил, теперь исходящие и входящие vpn подключения работают.