информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыСтрашный баг в WindowsАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Блокировка российских аккаунтов... 
 Отзыв сертификатов ЦБ РФ, ПСБ,... 
 Памятка мирным людям во время информационной... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
OFF: а зачем его инет гнать через тебя? 12.11.09 15:16  Число просмотров: 4042
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:22  Количество правок: 3
<"чистая" ссылка>
> Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Достаточно поднять нат на интерфейсе 10.0.0.1 если vpn-сервер сам видит инет.
Subj. Если чувак впнится из интернета - то инет у него и так есть - другое дело, что internet explorer не может отобразить страницу, т.к. 1) основным шлюзом после подключения становится 10.0.0.1, а не провайдерский, и 2) вместе с IP при коннекте (скорее всего) выдаётся также DNS от тебя, и он не работает (опять-таки нат не поднят, маршрута с vpn-сервера (скорее всего) нет, а dns-сервер и подавно обратного маршрута к vpnной сети и подавно не знает).
Не дешевле ли будет снять пару галок в сввах vpn-подключения на клиенте?
<networking>
iptables + vpn = нужна помощь 12.11.09 12:00  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
На компьютере установлен модем. К нему коннектятятся из инета по vpn. После коннекта компе появляются два интерфейса:
ppp0 - динамический инет-адрес от провайдера
ppp1 - адрес 10.0.0.1 - хвост от vpn
Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Номер порта vpn 1723, номер протокола gre 47.
OFF: а зачем его инет гнать через тебя? 12.11.09 15:16  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:22  Количество правок: 3
<"чистая" ссылка>
> Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Достаточно поднять нат на интерфейсе 10.0.0.1 если vpn-сервер сам видит инет.
Subj. Если чувак впнится из интернета - то инет у него и так есть - другое дело, что internet explorer не может отобразить страницу, т.к. 1) основным шлюзом после подключения становится 10.0.0.1, а не провайдерский, и 2) вместе с IP при коннекте (скорее всего) выдаётся также DNS от тебя, и он не работает (опять-таки нат не поднят, маршрута с vpn-сервера (скорее всего) нет, а dns-сервер и подавно обратного маршрута к vpnной сети и подавно не знает).
Не дешевле ли будет снять пару галок в сввах vpn-подключения на клиенте?
Галку снять дешевле, но нужно весть трафик завернуть через... 12.11.09 15:30  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Галку снять дешевле, но нужно весть трафик завернуть через этот сервер.
ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит.
NAT на 10.0.0.1 даст возможность отвечающим компам общаться с 2, направляя ответы на vpn-сервер 12.11.09 15:41  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:42  Количество правок: 2
<"чистая" ссылка>
> ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит.
Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера, правильно? :)
А у 10.0.0.1 должен быть маршрут по умолчанию через интерфейс ppp0.
Правильно. Но тогда НАТ надо делать на интерфейсе, который в... 12.11.09 15:55  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
> Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера,
> правильно? :)
Правильно. Но тогда НАТ надо делать на интерфейсе, который в инет смотрит?
Конечно нет - нат надо делать на том интерфейсе, в который _приходят_ пакеты из локальной сети (в данном случае vpn), а основным шлюзом для этого интерфейса как раз является смотрящий в инет 12.11.09 16:03  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают... 12.11.09 16:36  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают про мою сетку 10.0.0.Х?
Сорри, натупил очень сильно 12.11.09 16:52  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают про мою сетку 10.0.0.Х?
Нет, там знают про динамический ip ppp0.
Конечно, NAT поднимается на ppp0 и прописывается маршрут в 10/8 через ppp1 (если при подключении не появляется динамический).
Также в процессе раздачи ip надо бы отдать адреса dns чтобы всё совсем работало - это и без меня известно походу.
Ну в общем да. Вот кто бы с правилами iptables помог. :) 12.11.09 16:58  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Если еще актуально... 14.01.10 22:53  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
Если еще актуально...

В простейшем случае достаточно одного правила:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
(при условии, что в таблице "filter" политика цепочки "FORWARD" выставлена в 'ACCEPT').

Если с этим правилом удастся выпустить VPN-клиентов в Инет, то можно уже задумываться о всяких рюшках (типа для повышения безопасности сети з ашлюзом). Там еще буквально пару правил.
Ну и не забыть net.ipv4.ip_forward=1 15.01.10 09:55  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
Необходимо разрешить передачу пакетов между интерфейсами, иначе никакой маршрутизации не будет. Прописывать либо в /etc/sysctl.conf, либо в в любой скрипт, выполняющийся при загрузке системы
sysctl net.ipv4.ip_forward=1
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach