форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"vpn tunel, iptables"	+/–
Сообщение от cook (ok) on 04-Ноя-10, 19:04
linux 2.6.35-22 является гейтом локалки для выхода в мир eth0 - смотрит в мир, имеет реальный айпи A.A.A.A , default gate B.B.B.B eth1 - локалка, 192.168 имеется впн, tap0 айпи из сети 10.10. - C.C.C.C default gate D.D.D.D при этом реальный айпи адрес сервера на котором стоит впн и к которому конектимся R.R.R.R по поднятию впна выполняется /sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE при опускании соответсвенно их удаление впн поднимается нат работает но есть некоторые НО ни с сервера ни с локалки не видно R.R.R.R а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A при чем при таких же самих правилах все работало на старом линухе который не обновлялся года 1.5
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "vpn tunel, iptables"	+/–
Сообщение от reader (ok) on 04-Ноя-10, 22:10
>[оверквотинг удален] > имеется впн, tap0 айпи из сети 10.10. - C.C.C.C default gate D.D.D.D > при этом реальный айпи адрес сервера на котором стоит впн и к > которому конектимся R.R.R.R > по поднятию впна выполняется > /sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE > /sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE > при опускании соответсвенно их удаление > впн поднимается нат работает но есть некоторые НО > ни с сервера ни с локалки не видно R.R.R.R > а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A честно, ни чего не понял. если vpn между R.R.R.R и A.A.A.A поднялся и работает, то они друг друга видят. что в вашем понимании "не видят"? > при чем при таких же самих правилах все работало на старом линухе > который не обновлялся года 1.5
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 09:02
	> честно, ни чего не понял. если vpn между R.R.R.R и A.A.A.A поднялся > и работает, то они друг друга видят. > что в вашем понимании "не видят"? после того как поднялся тунель и были установлены указанные правила iptables трасировка сделанная с любого компа локалки или даже с самого сервера заканчивается на гейте D.D.D.D
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "vpn tunel, iptables"	+/–
Сообщение от PavelR (??) on 05-Ноя-10, 08:18
> по поднятию впна выполняется > /sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE > /sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE Правила бредовые, смысла в них - ноль. > при опускании соответсвенно их удаление > впн поднимается нат работает но есть некоторые НО > ни с сервера ни с локалки не видно R.R.R.R > а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A Читайте про линукс и два провайдера. У вас уже этот случай. > при чем при таких же самих правилах все работало на старом линухе > который не обновлялся года 1.5 Работало - зачем было трогать ? :-)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 09:05
	>> по поднятию впна выполняется >> /sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE >> /sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE > Правила бредовые, смысла в них - ноль. это как раз именно то, что я хотел услышать, задавая вопрос на этом форуме >> при опускании соответсвенно их удаление >> впн поднимается нат работает но есть некоторые НО >> ни с сервера ни с локалки не видно R.R.R.R >> а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A > Читайте про линукс и два провайдера. У вас уже этот случай. а до апдейта операционки похоже был другой... >> при чем при таких же самих правилах все работало на старом линухе >> который не обновлялся года 1.5 > Работало - зачем было трогать ? :-) в следующий раз обязательно спрошу вашего разрешения...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "vpn tunel, iptables"	–1 +/–
	Сообщение от PavelR (??) on 05-Ноя-10, 13:42
	>> Правила бредовые, смысла в них - ноль. > это как раз именно то, что я хотел услышать, задавая вопрос на > этом форуме Рад что смог помочь. >> Читайте про линукс и два провайдера. У вас уже этот случай. > а до апдейта операционки похоже был другой... Что поделать, жизнь динамична. И не всё нам в ней подвластно. >>> при чем при таких же самих правилах все работало на старом линухе >>> который не обновлялся года 1.5 >> Работало - зачем было трогать ? :-) > в следующий раз обязательно спрошу вашего разрешения... Мы сами создаем себе проблемы, а потом героически боремся с ними. Se la vi.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "vpn tunel, iptables"	+/–
Сообщение от cook (ok) on 05-Ноя-10, 09:10
смысл этих правил в том, чтобы локальная сеть видела весь мир через впн тунель, за исключением реального айпи сервера на котором поднят впн сервер ( R.R.R.R )
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "vpn tunel, iptables"	+/–
	Сообщение от reader (ok) on 05-Ноя-10, 12:51
	> смысл этих правил в том, чтобы локальная сеть видела весь мир через > впн тунель, за исключением реального айпи сервера на котором поднят впн > сервер ( R.R.R.R ) тогда читайте про 2 провайдера, как сказал PavelR. если всех в инет через vpn, то маршрут к vpn клиенту через шлюз провайдера, а шлюзом по умолчанию ip tap интерфейса клиента vpn. http://www.opennet.me/openforum/vsluhforumID1/89356.html
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 13:49
	>> смысл этих правил в том, чтобы локальная сеть видела весь мир через >> впн тунель, за исключением реального айпи сервера на котором поднят впн >> сервер ( R.R.R.R ) > тогда читайте про 2 провайдера, как сказал PavelR. > если всех в инет через vpn, то маршрут к vpn клиенту через > шлюз провайдера, а шлюзом по умолчанию ip tap интерфейса клиента vpn. > http://www.opennet.me/openforum/vsluhforumID1/89356.html ессно, что это сделано, иначе как бы работало то, что я в самом начале написал после поднятия впн становится так: R.R.R.R   B.B.B.B  255.255.255.255 UGH       0 0          0 eth0 0.0.0.0         D.D.D.D       0.0.0.0         UG        0 0          0 tap0
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "vpn tunel, iptables"	+/–
	Сообщение от reader (ok) on 05-Ноя-10, 14:36
	>[оверквотинг удален] > самом начале написал > после поднятия впн становится так: > R.R.R.R   B.B.B.B  255.255.255.255 UGH     >  0 0         >  0 eth0 > 0.0.0.0         D.D.D.D   >     0.0.0.0       >   UG        0 > 0          0 > tap0 это со шлюза и он же vpn клиент? и что? после это со шлюза инет перестает работать и по ip и по доменным именам? если да то смотрите или показывайте правила iptables-save с шлюза(vpn-клиента) и с vpn-сервера. смотрите приходят ли пакеты на vpn-сервер. echo 1 > /proc/sys/net/ipv4/ip_forward должно быть выполнено и на vpn-клиенте и на vpn-сервере.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 15:01
	> это со шлюза и он же vpn клиент? > и что? после это со шлюза инет перестает работать и по ip > и по доменным именам? если да то смотрите или показывайте правила > iptables-save с шлюза(vpn-клиента) и с vpn-сервера. > смотрите приходят ли пакеты на vpn-сервер. > echo 1 > /proc/sys/net/ipv4/ip_forward должно быть выполнено и на vpn-клиенте и на > vpn-сервере. это шлюз локальной сети, он же впн клиент видно весь инет, все работает, кроме трассы на R.R.R.R как выяснилось заходить по ссш я на него могу из локалки. а вот трасса почему то режется и также из внешнего мира невозможно зайти на реальный айпи A.A.A.A только это не работает форвардинг включен везде, сервер впн рабочий и проверенный кстати, почему таким странным образом форвадинг включаете, а не через sysctl ? # Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010 *nat :PREROUTING ACCEPT [3474:246886] :OUTPUT ACCEPT [2713:178305] :POSTROUTING ACCEPT [267:18794] -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE COMMIT
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "vpn tunel, iptables"	+/–
	Сообщение от reader (ok) on 05-Ноя-10, 16:09
	>[оверквотинг удален] >> и что? после это со шлюза инет перестает работать и по ip >> и по доменным именам? если да то смотрите или показывайте правила >> iptables-save с шлюза(vpn-клиента) и с vpn-сервера. >> смотрите приходят ли пакеты на vpn-сервер. >> echo 1 > /proc/sys/net/ipv4/ip_forward должно быть выполнено и на vpn-клиенте и на >> vpn-сервере. > это шлюз локальной сети, он же впн клиент > видно весь инет, все работает, кроме трассы на R.R.R.R > как выяснилось заходить по ссш я на него могу из локалки. а > вот трасса почему то режется это работает через разные протоколы, tcp может быть разрешен, а udp, icmp могут быть запрещены. > и также из внешнего мира невозможно зайти на реальный айпи A.A.A.A > только это не работает это, может быть из-за шлюза по умолчанию, а может быть из-за правил фильтрации iptables > форвардинг включен везде, сервер впн рабочий и проверенный > кстати, почему таким странным образом форвадинг включаете, а не через sysctl ? это дело вкуса и привычки. > # Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010 > *nat > :PREROUTING ACCEPT [3474:246886] > :OUTPUT ACCEPT [2713:178305] > :POSTROUTING ACCEPT [267:18794] > -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE > -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE > COMMIT другие таблицы тоже имеют значение.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 16:28
	>> это шлюз локальной сети, он же впн клиент >> видно весь инет, все работает, кроме трассы на R.R.R.R >> как выяснилось заходить по ссш я на него могу из локалки. а >> вот трасса почему то режется > это работает через разные протоколы, tcp может быть разрешен, а udp, icmp > могут быть запрещены. понимаю это, но негде этому резаться >[оверквотинг удален] > это дело вкуса и привычки. >> # Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010 >> *nat >> :PREROUTING ACCEPT [3474:246886] >> :OUTPUT ACCEPT [2713:178305] >> :POSTROUTING ACCEPT [267:18794] >> -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE >> -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE >> COMMIT > другие таблицы тоже имеют значение. это все что вывела iptables-save повторю, что при таких же настройках все работало на более старой системе
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "vpn tunel, iptables"	+/–
	Сообщение от reader (ok) on 05-Ноя-10, 17:11
	>[оверквотинг удален] >>> # Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010 >>> *nat >>> :PREROUTING ACCEPT [3474:246886] >>> :OUTPUT ACCEPT [2713:178305] >>> :POSTROUTING ACCEPT [267:18794] >>> -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE >>> -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE >>> COMMIT >> другие таблицы тоже имеют значение. > это все что вывела iptables-save покажите iptables -L > повторю, что при таких же настройках все работало на более старой системе не очень верится. рассмотрим прохождение пакета из инета, не от R.R.R.R ( общения с R.R.R.R должны работать правильно из-за прописанного маршрута, если конечно входящие приходят через eth0). пакет 1.1.1.1 > A.A.A.A (в заголовке 1.1.1.1 > A.A.A.A) приходит через eth0, допустим на A.A.A.A пакет прошел пакетный фильтр, был обработан и создан ответный пакет (в заголовке A.A.A.A > 1.1.1.1). согласно с таблицей маршрутизации пакет будет отправлен через tap. после ухода в заголовке пакета будет C.C.C.C > 1.1.1.1, с таким заголовком он придет на vpn-сервер, там если он не будет убит и пройдет через nat в заголовке будет R.R.R.R > 1.1.1.1 и в таком виде он придет к 1.1.1.1, который ждет пакет с заголовком A.A.A.A > 1.1.1.1, а не от R.R.R.R и по правильному на 1.1.1.1 пакет должен быть убит. так было бы и 1,5 года назад. так что чего-то вы не доделали по сравнением со старой системой.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 17:19
	>[оверквотинг удален] >>>> *nat >>>> :PREROUTING ACCEPT [3474:246886] >>>> :OUTPUT ACCEPT [2713:178305] >>>> :POSTROUTING ACCEPT [267:18794] >>>> -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE >>>> -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE >>>> COMMIT >>> другие таблицы тоже имеют значение. >> это все что вывела iptables-save > покажите iptables -L iptables -L Chain INPUT (policy ACCEPT) target     prot opt source               destination         Chain FORWARD (policy ACCEPT) target     prot opt source               destination         ACCEPT     all  --  anywhere             anywhere             ACCEPT     all  --  anywhere             anywhere             ACCEPT     all  --  anywhere             anywhere             Chain OUTPUT (policy ACCEPT) target     prot opt source               destination >[оверквотинг удален] > допустим на A.A.A.A пакет прошел пакетный фильтр, был обработан и создан > ответный пакет (в заголовке A.A.A.A > 1.1.1.1). согласно с таблицей маршрутизации > пакет будет отправлен через tap. после ухода в заголовке пакета будет > C.C.C.C > 1.1.1.1, с таким заголовком он придет на vpn-сервер, там > если он не будет убит и пройдет через nat в заголовке > будет R.R.R.R > 1.1.1.1 и в таком виде он придет к > 1.1.1.1, который ждет пакет с заголовком A.A.A.A > 1.1.1.1, а не > от R.R.R.R и по правильному на 1.1.1.1 пакет должен быть убит. > так было бы и 1,5 года назад. > так что чего-то вы не доделали по сравнением со старой системой. уже не раз пересмотрел, в плане разницы настроек, отличий не нашел... сейчас еще раз загружу ее и проверю
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 17:41
	все таки есть отличия вот так на старом, видать какие то дефолтные настройки # Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010 *nat :PREROUTING ACCEPT [512:68958] :POSTROUTING ACCEPT [253:16519] :OUTPUT ACCEPT [237:14806] -A POSTROUTING -d R.R.R.R -o eth1 -j MASQUERADE -A POSTROUTING -d ! R.R.R.R -o tap0 -j MASQUERADE COMMIT # Completed on Fri Nov  5 16:33:14 2010 # Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010 *mangle :PREROUTING ACCEPT [1447:217481] :INPUT ACCEPT [826:138850] :FORWARD ACCEPT [90:8155] :OUTPUT ACCEPT [886:117340] :POSTROUTING ACCEPT [1037:136937] COMMIT # Completed on Fri Nov  5 16:33:14 2010 # Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010 *filter :INPUT ACCEPT [826:138850] :FORWARD ACCEPT [90:8155] :OUTPUT ACCEPT [886:117340] COMMIT # Completed on Fri Nov  5 16:33:14 2010
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "vpn tunel, iptables"	+/–
	Сообщение от reader (ok) on 05-Ноя-10, 18:16
	>[оверквотинг удален] > :POSTROUTING ACCEPT [1037:136937] > COMMIT > # Completed on Fri Nov  5 16:33:14 2010 > # Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010 > *filter > :INPUT ACCEPT [826:138850] > :FORWARD ACCEPT [90:8155] > :OUTPUT ACCEPT [886:117340] > COMMIT > # Completed on Fri Nov  5 16:33:14 2010 не , тут нет разницы. просто по разному показано. iptables это наверно не единственное что настраивалось. в общем читайте о маршрутизации, определяйтесь с тем что нужно, tcpdump на разных машинах покажет что получилось. http://www.opennet.me/tips/info/2009.shtml http://www.opennet.me/tips/info/1651.shtml правда автора похоже вы заминусовали :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "vpn tunel, iptables"	+/–
	Сообщение от cook (ok) on 05-Ноя-10, 18:38
	> не , тут нет разницы. просто по разному показано. iptables это наверно > не единственное что настраивалось. > в общем читайте о маршрутизации, определяйтесь с тем что нужно, tcpdump на > разных машинах покажет что получилось. > http://www.opennet.me/tips/info/2009.shtml > http://www.opennet.me/tips/info/1651.shtml > правда автора похоже вы заминусовали :) в плане маршрутизации все одинаково, таблицы те же показываются такого эффекта когда родной айпи виден извне я не ждал в прошлый раз когда делал, просто так получилось, не специально, и теперь совсем понять не могу как так происходит да, после второго ответа без конкретики, и философскими размышления употребил имеющиеся минусы, считаю, что лучше ничего не говорить если сказать конкретно нечего благодарю за помощь )
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "vpn tunel, iptables"	–1 +/–
	Сообщение от PavelR (??) on 05-Ноя-10, 13:38
	> смысл этих правил в том, чтобы локальная сеть видела весь мир через > впн тунель, за исключением реального айпи сервера на котором поднят впн > сервер ( R.R.R.R ) так вот, это вы пытаетесь вложить этот смысл в эти правила. На самом деле они делают совершенно другие вещи. Знаете, ли, маршрутизация в файрволе в линуксе не настраивается. Это в некоторых других операционках так...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "vpn tunel, iptables"	–1 +/–
	Сообщение от PavelR (??) on 05-Ноя-10, 13:38
	> смысл этих правил в том, чтобы локальная сеть видела весь мир через > впн тунель, за исключением реального айпи сервера на котором поднят впн > сервер ( R.R.R.R ) так вот, это _ВЫ_ пытаетесь вложить этот смысл в эти правила. На самом деле они делают совершенно другие вещи. Знаете, ли, маршрутизация в файрволе в линуксе не настраивается. Это в некоторых других операционках так...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема