информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеПортрет посетителяВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
iptables + vpn = нужна помощь 12.11.09 12:00  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
На компьютере установлен модем. К нему коннектятятся из инета по vpn. После коннекта компе появляются два интерфейса:
ppp0 - динамический инет-адрес от провайдера
ppp1 - адрес 10.0.0.1 - хвост от vpn
Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Номер порта vpn 1723, номер протокола gre 47.
OFF: а зачем его инет гнать через тебя? 12.11.09 15:16  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:22  Количество правок: 3
<"чистая" ссылка>
> Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Достаточно поднять нат на интерфейсе 10.0.0.1 если vpn-сервер сам видит инет.
Subj. Если чувак впнится из интернета - то инет у него и так есть - другое дело, что internet explorer не может отобразить страницу, т.к. 1) основным шлюзом после подключения становится 10.0.0.1, а не провайдерский, и 2) вместе с IP при коннекте (скорее всего) выдаётся также DNS от тебя, и он не работает (опять-таки нат не поднят, маршрута с vpn-сервера (скорее всего) нет, а dns-сервер и подавно обратного маршрута к vpnной сети и подавно не знает).
Не дешевле ли будет снять пару галок в сввах vpn-подключения на клиенте?
Галку снять дешевле, но нужно весть трафик завернуть через... 12.11.09 15:30  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Галку снять дешевле, но нужно весть трафик завернуть через этот сервер.
ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит.
NAT на 10.0.0.1 даст возможность отвечающим компам общаться с 2, направляя ответы на vpn-сервер 12.11.09 15:41  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:42  Количество правок: 2
<"чистая" ссылка>
> ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит.
Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера, правильно? :)
А у 10.0.0.1 должен быть маршрут по умолчанию через интерфейс ppp0.
Правильно. Но тогда НАТ надо делать на интерфейсе, который в... 12.11.09 15:55  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
> Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера,
> правильно? :)
Правильно. Но тогда НАТ надо делать на интерфейсе, который в инет смотрит?
Конечно нет - нат надо делать на том интерфейсе, в который _приходят_ пакеты из локальной сети (в данном случае vpn), а основным шлюзом для этого интерфейса как раз является смотрящий в инет 12.11.09 16:03  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают... 12.11.09 16:36  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают про мою сетку 10.0.0.Х?
Сорри, натупил очень сильно 12.11.09 16:52  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают про мою сетку 10.0.0.Х?
Нет, там знают про динамический ip ppp0.
Конечно, NAT поднимается на ppp0 и прописывается маршрут в 10/8 через ppp1 (если при подключении не появляется динамический).
Также в процессе раздачи ip надо бы отдать адреса dns чтобы всё совсем работало - это и без меня известно походу.
Ну в общем да. Вот кто бы с правилами iptables помог. :) 12.11.09 16:58  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Если еще актуально... 14.01.10 22:53  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
Если еще актуально...

В простейшем случае достаточно одного правила:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
(при условии, что в таблице "filter" политика цепочки "FORWARD" выставлена в 'ACCEPT').

Если с этим правилом удастся выпустить VPN-клиентов в Инет, то можно уже задумываться о всяких рюшках (типа для повышения безопасности сети з ашлюзом). Там еще буквально пару правил.
Ну и не забыть net.ipv4.ip_forward=1 15.01.10 09:55  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
Необходимо разрешить передачу пакетов между интерфейсами, иначе никакой маршрутизации не будет. Прописывать либо в /etc/sysctl.conf, либо в в любой скрипт, выполняющийся при загрузке системы
sysctl net.ipv4.ip_forward=1
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach