forum.opennet.ru - "shorewall и DNAT- нужна помощь" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"shorewall и DNAT- нужна помощь"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"shorewall и DNAT- нужна помощь"	+/–
Сообщение от yuriy_it_uz (ok) on 07-Окт-11, 15:02
Есть шлюз в нет. На нем настроен shorewall. Задача: пробросить порт tcp 1723 (pptp) из локальной сети наружу. У шлюза внутренний ip 10.25.1.100 + к шлюзу есть доступ из филиалов у которых своя серая сеть (например 10.25.4.0/24). На шлюзе прописаны статические маршруты к филиалам. Создаю правило: ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL PORT PORT DEST DNAT- lan:10.25.4.1 net:1.2.3.4 tcp 1723 - 10.25.1.100 На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле указать не филиальную машину, а машину из родной сети в которой шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда копать, если кто сталкивался. Благодарю
Ответить \| Правка \| Cообщить модератору

Оглавление

shorewall и DNAT- нужна помощь, Aquarius, 17:23 , 07-Окт-11, (1)

shorewall и DNAT- нужна помощь, yuriy_it_uz, 17:48 , 07-Окт-11, (2)

shorewall и DNAT- нужна помощь, reader, 22:00 , 07-Окт-11, (3)
shorewall и DNAT- нужна помощь, Aquarius, 14:01 , 08-Окт-11, (4)

shorewall и DNAT- нужна помощь, yuriy_it_uz, 13:08 , 10-Окт-11, (5)

shorewall и DNAT- нужна помощь, Aquarius, 20:00 , 11-Окт-11, (6)

shorewall и DNAT- нужна помощь, yuriy_it_uz, 12:44 , 14-Окт-11, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "shorewall и DNAT-  нужна помощь" +/–

Сообщение от Aquarius (ok) on 07-Окт-11, 17:23

>[оверквотинг удален]
>        PORT  PORT
>     DEST
> DNAT-  lan:10.25.4.1  net:1.2.3.4  tcp   1723
> -    10.25.1.100
> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
> указать не филиальную машину, а машину из родной сети в которой
> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
> копать, если кто сталкивался. Благодарю
читать, что такое PPTP

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "shorewall и DNAT-  нужна помощь" +/–

Сообщение от yuriy_it_uz (ok) on 07-Окт-11, 17:48

>[оверквотинг удален]
>>     DEST
>> DNAT-  lan:10.25.4.1  net:1.2.3.4  tcp   1723
>> -    10.25.1.100
>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
>> указать не филиальную машину, а машину из родной сети в которой
>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>> копать, если кто сталкивался. Благодарю
> читать, что такое PPTP
Я написал что касаемо pptp... из филиалов не работает проброс любых портов (например smtp, pop3), а из машины "своей" сетки работает без проблем

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "shorewall и DNAT-  нужна помощь" +/–

Сообщение от reader (ok) on 07-Окт-11, 22:00

>[оверквотинг удален]
>>> -    10.25.1.100
>>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
>>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
>>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
>>> указать не филиальную машину, а машину из родной сети в которой
>>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>>> копать, если кто сталкивался. Благодарю
>> читать, что такое PPTP
> Я написал что касаемо pptp... из филиалов не работает проброс любых портов
> (например smtp, pop3), а из машины "своей" сетки работает без проблем
так покажите все правила iptables-save

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "shorewall и DNAT-  нужна помощь" +/–

Сообщение от Aquarius (ok) on 08-Окт-11, 14:01

>[оверквотинг удален]
>>> -    10.25.1.100
>>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к
>>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу
>>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле
>>> указать не филиальную машину, а машину из родной сети в которой
>>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>>> копать, если кто сталкивался. Благодарю
>> читать, что такое PPTP
> Я написал что касаемо pptp... из филиалов не работает проброс любых портов
> (например smtp, pop3), а из машины "своей" сетки работает без проблем
не писать, а именно читать, и не "что касаемо pptp", а что из себя представляет PPTP
P.S. еще для TCP нужен NAT для ответного трафика
P.P.S. не помню, как именно это называется в shorewall

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "shorewall и DNAT-  нужна помощь" +/–

Сообщение от yuriy_it_uz (ok) on 10-Окт-11, 13:08

>[оверквотинг удален]
>>>> указать не филиальную машину, а машину из родной сети в которой
>>>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда
>>>> копать, если кто сталкивался. Благодарю
>>> читать, что такое PPTP
>> Я написал что касаемо pptp... из филиалов не работает проброс любых портов
>> (например smtp, pop3), а из машины "своей" сетки работает без проблем
> не писать, а именно читать, и не "что касаемо pptp", а что
> из себя представляет PPTP
> P.S. еще для TCP нужен NAT для ответного трафика
> P.P.S. не помню, как именно это называется в shorewall
Закрываю тему! В документации по shorewall-у DNAT используется всюду как проброс портов из интернета в локальную сеть, а DNAT- как проброс портов из локальной сети в интернет. Но путем эксперимента установил, что DNAT без проблем пробросил pptp из филиальной машины в интернет. Все заработало как надо. Спасибо за участие. Может кому-то пригодится!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "shorewall и DNAT-  нужна помощь" +/–

Сообщение от Aquarius (ok) on 11-Окт-11, 20:00

> Закрываю тему! В документации по shorewall-у DNAT используется всюду как проброс портов
                                               ^^^^
> из интернета в локальную сеть, а DNAT- как проброс портов из
                                   ^^^^
только мне кажется, что что-то здесь не так?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "shorewall и DNAT-  нужна помощь" +/–

Сообщение от yuriy_it_uz (ok) on 14-Окт-11, 12:44

>[оверквотинг удален]
>
>
>
>   ^^^^
>> из интернета в локальную сеть, а DNAT- как проброс портов из
>
>
>
>  ^^^^
> только мне кажется, что что-то здесь не так?
Извиняюсь написал не понятно... параметр "DNAT" - одно, а "DNAT-" - другое

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "shorewall и DNAT- нужна помощь"	+/–
Сообщение от Aquarius (ok) on 07-Окт-11, 17:23
>[оверквотинг удален] > PORT PORT > DEST > DNAT- lan:10.25.4.1 net:1.2.3.4 tcp 1723 > - 10.25.1.100 > На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к > шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу > на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле > указать не филиальную машину, а машину из родной сети в которой > шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда > копать, если кто сталкивался. Благодарю читать, что такое PPTP
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "shorewall и DNAT- нужна помощь"	+/–
	Сообщение от yuriy_it_uz (ok) on 07-Окт-11, 17:48
	>[оверквотинг удален] >> DEST >> DNAT- lan:10.25.4.1 net:1.2.3.4 tcp 1723 >> - 10.25.1.100 >> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к >> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу >> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле >> указать не филиальную машину, а машину из родной сети в которой >> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда >> копать, если кто сталкивался. Благодарю > читать, что такое PPTP Я написал что касаемо pptp... из филиалов не работает проброс любых портов (например smtp, pop3), а из машины "своей" сетки работает без проблем
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "shorewall и DNAT- нужна помощь"	+/–
	Сообщение от reader (ok) on 07-Окт-11, 22:00
	>[оверквотинг удален] >>> - 10.25.1.100 >>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к >>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу >>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле >>> указать не филиальную машину, а машину из родной сети в которой >>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда >>> копать, если кто сталкивался. Благодарю >> читать, что такое PPTP > Я написал что касаемо pptp... из филиалов не работает проброс любых портов > (например smtp, pop3), а из машины "своей" сетки работает без проблем так покажите все правила iptables-save
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "shorewall и DNAT- нужна помощь"	+/–
	Сообщение от Aquarius (ok) on 08-Окт-11, 14:01
	>[оверквотинг удален] >>> - 10.25.1.100 >>> На машине 10.25.4.1 (машина в филиале)создаю vpn подключение и указываю подключаться к >>> шлюзу (10.25.1.100), шлюз в свою очередь должен прокинуть порт согласно правилу >>> на сервер 1.2.3.4 в нете... НО... не работает. Если в правиле >>> указать не филиальную машину, а машину из родной сети в которой >>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда >>> копать, если кто сталкивался. Благодарю >> читать, что такое PPTP > Я написал что касаемо pptp... из филиалов не работает проброс любых портов > (например smtp, pop3), а из машины "своей" сетки работает без проблем не писать, а именно читать, и не "что касаемо pptp", а что из себя представляет PPTP P.S. еще для TCP нужен NAT для ответного трафика P.P.S. не помню, как именно это называется в shorewall
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "shorewall и DNAT- нужна помощь"	+/–
	Сообщение от yuriy_it_uz (ok) on 10-Окт-11, 13:08
	>[оверквотинг удален] >>>> указать не филиальную машину, а машину из родной сети в которой >>>> шлюз находится (например 10.25.1.250) то проблем нет.. все работает. Подскажите куда >>>> копать, если кто сталкивался. Благодарю >>> читать, что такое PPTP >> Я написал что касаемо pptp... из филиалов не работает проброс любых портов >> (например smtp, pop3), а из машины "своей" сетки работает без проблем > не писать, а именно читать, и не "что касаемо pptp", а что > из себя представляет PPTP > P.S. еще для TCP нужен NAT для ответного трафика > P.P.S. не помню, как именно это называется в shorewall Закрываю тему! В документации по shorewall-у DNAT используется всюду как проброс портов из интернета в локальную сеть, а DNAT- как проброс портов из локальной сети в интернет. Но путем эксперимента установил, что DNAT без проблем пробросил pptp из филиальной машины в интернет. Все заработало как надо. Спасибо за участие. Может кому-то пригодится!
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "shorewall и DNAT- нужна помощь"	+/–
	Сообщение от Aquarius (ok) on 11-Окт-11, 20:00
	> Закрываю тему! В документации по shorewall-у DNAT используется всюду как проброс портов ^^^^ > из интернета в локальную сеть, а DNAT- как проброс портов из ^^^^ только мне кажется, что что-то здесь не так?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "shorewall и DNAT- нужна помощь"	+/–
	Сообщение от yuriy_it_uz (ok) on 14-Окт-11, 12:44
	>[оверквотинг удален] > > > > ^^^^ >> из интернета в локальную сеть, а DNAT- как проброс портов из > > > > ^^^^ > только мне кажется, что что-то здесь не так? Извиняюсь написал не понятно... параметр "DNAT" - одно, а "DNAT-" - другое
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору