https://opennet.me/openforum/vsluhforumID10/5529.html Всем привет. Хочу поставить сервер, который будет выступать в роли фильтров между клиентом и сервером.<br>Сервер фильтрации должен менять адрес назначения на адрес сервера и в обратном порядке.<br>Но когда я пытаюсь послать пакет на сервер фильтрации, он приходит, переходит в цепочку FORWARD и дропается самой сетевой картой. Соответственно пакет сервер не принимает. Может какой VPN сделать между сервером и сервером фильтрации? Как я понял, то сетевуха не знает о этих сетях ничего (типа не мне и не я принимаю/отсылаю пакет, поэтому и дропаю).<br>Правила в iptables (По умолчанию все цепочки ACCEPT и включен ip v4 forward)<br>iptables -t nat -A PREROUTING -d IPFilter/32 -p udp --dport 27017 -j DNAT --to-destination IPServer<br><br>НО, если я поменяю адрес источника клиента на адрес сервера фильтров, то пакет будет передан серверу, но не с IP клиента, а с IP фильтров. А мне нужен, чтобы пересылался IP адрес клиента.<br>Помогите, пожалуйста, с решением вопроса!<br> https://opennet.me/openforum/vsluhforumID10/5529.html#33 Sun, 24 May 2020 20:36:19 GMT <br>Лучше сразу делать все это при покупке пакета, у вас явно ошибка в установке. У меня Tinc стоит сразу впн настроили не было проблем. Вам рекомендую все же провести перелинковку впн, если он входит в ваш пакет файрвола. <br><br><br> https://opennet.me/openforum/vsluhforumID10/5529.html#31 Wed, 22 Apr 2020 18:42:27 GMT &gt;[оверквотинг удален]<br>&gt; Drops packets from guest with source IP address different from the <br>&gt; guest's ones.<br>&gt; This filter works only all of the following is true: <br>&gt; - dhcp for VM is OFF <br>&gt; - AutoApply for VM is ON <br>&gt; - VM has non-empty list of IP addresses <br>&gt; It is set by: <br>&gt; /prlctl set VM --de//vice-set net0 --ipfilter yes/ <br>&gt; Но, как вы наверное помните, я рекомендовал отказаться от этого метода в <br>&gt; пользу более наглядного прокси.<br><br>Использую OpenVPN без шифрования. Спасибо за ответы!<br> https://opennet.me/openforum/vsluhforumID10/5529.html#30 Wed, 22 Apr 2020 15:27:04 GMT <br>Вы подтвердите или опровергните. Ваш фильтрующий сервер не виртуальная машина, а какой-то контейнер? Какой, OpenVZ?<br><br>Если да, то:<br><br>https://lists.openvz.org/pipermail/users/2016-April/006845.html<br>The filters are following:<br><br>*a) IP spoofing protection:*<br>Drops packets from guest with source IP address different from the <br>guest's ones.<br>This filter works only all of the following is true:<br>- dhcp for VM is OFF<br>- AutoApply for VM is ON<br>- VM has non-empty list of IP addresses<br><br>It is set by:<br>/prlctl set VM --de//vice-set net0 --ipfilter yes/<br><br>Но, как вы наверное помните, я рекомендовал отказаться от этого метода в пользу более наглядного прокси.<br> https://opennet.me/openforum/vsluhforumID10/5529.html#29 Wed, 22 Apr 2020 08:33:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; потом за iptables беритесь.<br>&gt;&gt; Может поднять VPN? И через него трафик гонять?<br>&gt; Можно, конечно. Реализация несложная, можно разные варианты делать. Вам надо определиться <br>&gt; как хотите сделать, нарисовать схему, пройтись по IP связности, сделать подмену <br>&gt; IP адресов. VPN может вам дефолт маршрут подсунуть и схема заработает, <br>&gt; но лучше добиться понимания элементарной статической маршрутизации, а потом можно какой-нибидь <br>&gt; WireGuard прикрутить и прям в нём завести правила iptables, там сможете <br>&gt; и на серую сеть перейти, чтобы никаким образм не светануть белым <br>&gt; адресом сервера, раз уж это так важно, да и нагрузку он <br>&gt; небольую даёт.<br><br>Сделал VPN, все заработало. Только приложение критично к задержке и пакетам. Будут ли проблемы, если использовать VPN?<br> https://opennet.me/openforum/vsluhforumID10/5529.html#28 Wed, 22 Apr 2020 08:19:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; что не может дойти. Сейчас не нашёл описания, но судя по <br>&gt;&gt;&gt;&gt; коду в ядре, разные причины могут быть. Походу в роутинге что-то <br>&gt;&gt;&gt;&gt; не так. Надо с этим разобраться для начала.<br>&gt;&gt;&gt;&gt; Например поднять секондари ip совпадающий с клиентским и походить от него на <br>&gt;&gt;&gt;&gt; сервер.<br>&gt;&gt;&gt; Выше приложил вывод iptables, посмотрите, пожалуйста <br>&gt;&gt; Я к тому что для начала просто установить ip связность от клиента <br>&gt;&gt; к серверу через промежуточный сервер. Именно простого роутинга добейтесь и только <br>&gt;&gt; потом за iptables беритесь.<br>&gt; Может поднять VPN? И через него трафик гонять?<br><br>Можно, конечно. Реализация несложная, можно разные варианты делать. Вам надо определиться как хотите сделать, нарисовать схему, пройтись по IP связности, сделать подмену IP адресов. VPN может вам дефолт маршрут подсунуть и схема заработает, но лучше добиться понимания элементарной статической маршрутизации, а потом можно какой-нибидь WireGuard прикрутить и прям в нём завести правила iptables, там сможете и на се https://opennet.me/openforum/vsluhforumID10/5529.html#27 Wed, 22 Apr 2020 05:22:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Дропы на tx, это не значит что не может отправиться, это значит <br>&gt;&gt;&gt; что не может дойти. Сейчас не нашёл описания, но судя по <br>&gt;&gt;&gt; коду в ядре, разные причины могут быть. Походу в роутинге что-то <br>&gt;&gt;&gt; не так. Надо с этим разобраться для начала.<br>&gt;&gt;&gt; Например поднять секондари ip совпадающий с клиентским и походить от него на <br>&gt;&gt;&gt; сервер.<br>&gt;&gt; Выше приложил вывод iptables, посмотрите, пожалуйста <br>&gt; Я к тому что для начала просто установить ip связность от клиента <br>&gt; к серверу через промежуточный сервер. Именно простого роутинга добейтесь и только <br>&gt; потом за iptables беритесь.<br><br>Может поднять VPN? И через него трафик гонять?<br> https://opennet.me/openforum/vsluhforumID10/5529.html#26 Wed, 22 Apr 2020 05:02:53 GMT &gt;&gt; iptables -L -v -n <br>&gt; Никто forward не запрещает. Если у вас OpenVZ, дальше я бы стал <br>&gt; копать там.<br>&gt; А вообще, policy ACCEPT на публичном сервере это смело.<br><br>Interfaces<br><br>auto venet0<br>iface venet0 inet manual<br> up ifconfig venet0 up<br> up ifconfig venet0 127.0.0.2<br> up route add default dev venet0<br> down route del default dev venet0<br> down ifconfig venet0 down<br>auto venet0:0<br>iface venet0:0 inet static<br> address IPFilter<br> netmask 255.255.255.255<br> https://opennet.me/openforum/vsluhforumID10/5529.html#25 Wed, 22 Apr 2020 04:30:42 GMT &gt;&gt; iptables -L -v -n <br>&gt; Никто forward не запрещает. Если у вас OpenVZ, дальше я бы стал <br>&gt; копать там.<br>&gt; А вообще, policy ACCEPT на публичном сервере это смело.<br><br>ACCEPT везде, пока я не разберусь с маршрутизацией. Далее политики DROP поставлю по умолчанию<br> https://opennet.me/openforum/vsluhforumID10/5529.html#24 Tue, 21 Apr 2020 22:55:25 GMT &gt; iptables -L -v -n <br><br>Никто forward не запрещает. Если у вас OpenVZ, дальше я бы стал копать там.<br><br>А вообще, policy ACCEPT на публичном сервере это смело.<br>