Sziasztok, egy kis helpet szeretnek kerni:
adott az alabbi szitu:
- Ubuntu server 6.10
- eth0 - belso ip, eth1 - kulso ip
- szerveren PPTP kapcsolat egy masik szerverhez, mukodik (ppp0).
- VPN server PoPToP, konfiguralva, eth1-en mukodik
a problemam pedig a kovetkezo:
-VPN szervernek van belso ip poolja, de nincs NAT-ja.
-ppp0-nak is latszania kellene a VPN-re bejott embereknek
nem vagyok networking guru, hogy lehet ezt a legkisebb szivfajdalommal megcsinalni? Sima iptables varazslattal meg lehet oldani, vagy maga a poptop tud natolni?
Minden megjegyzest koszonettel veszek.
-- - - -- - - -- - - --
update#1:
közben eljutottam oda, hogy minden működik, iptables segítségével :)
eth0 - 10.1.1.10
eth1 - 80.XX.XX.250
eth1:1 - 80.XX.XX.249
script:
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables iptable_filte ip_conntrack ip_conntrack_ftp
modprobe iptable_nat ip_nat_ftp ipt_LOG ipt_MASQUERADE
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F #ignore if you get an error here
/sbin/iptables -X #deletes every non-builtin chain in the table
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT
# only if both of the above rules succeed, use
/sbin/iptables -P INPUT DROP
/sbin/iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
#outgoings:
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.149 -j SNAT --to 80.XX.XX.249
#incomings:
/sbin/iptables -t nat -A PREROUTING -d 80.XX.XX.249 -j DNAT --to 10.1.1.149
/sbin/iptables -t nat -A PREROUTING -d 80.XX.XX.240 -j DNAT --to 10.1.1.240
-- - - -- - - -- - - --
Kérdés 1: az alábbi snat nem működik. nyilvánvalóan a fölötte lévő MASQUERADE miatt, csak nem tudom a kettőt összevariálni.
/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.149 -j SNAT --to 80.XX.XX.249
Valaki tud benne segíteni? :)
Kérdés 2: hogy lehetne a fenti configba port-tiltásokat beletenni?
azt szeretném, hogy csak TCP 22,25,80 és a PPTP (1723,prot.47) legyen nyitva.
Köszönettel!
- 1227 megtekintés
Hozzászólások
up
- A hozzászóláshoz be kell jelentkezni
Próbáld meg a prerouting ágat.
- A hozzászóláshoz be kell jelentkezni
szia, #1?
$# /sbin/iptables -t nat -A PREROUTING -s 10.1.1.149 -j SNAT --to 80.99.95.249
iptables: Unknown error 4294967295
~ubuntu, os x~
- A hozzászóláshoz be kell jelentkezni
Hmm... http://www.faqs.org/docs/iptables/targets.html#TABLE.SNATTARGET
Ezexerint a POSTROUTING jó választás, viszont a -o hiányzik a képletből. Az szokott natnál kelleni.
- A hozzászóláshoz be kell jelentkezni
Szia, köszönöm a segítségedet, igazad volt a Postroutinggal kapcsolatban.
Valójában a következőket néztem be (életem első iptables varázslata):
eloszor kell a postrouting:
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.186 -j SNAT --to 80.xx.xx.44
utana kell a masquerade / snat
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
vagy
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 80.xx.xx.45
(ez utobbi a manualok szerint jobb, mert a masquerade mindig kerdezgeti a kartyat,
illetve igy meg lehet adni, hogy masik kulso IP-n menjen a tobbi kifele)
visszafele meg:
/sbin/iptables -t nat -A PREROUTING -d 80.xx.xx.44 -j DNAT --to-destination 10.1.1.186
(ez már triviális)
B.
~ubuntu, os x~
- A hozzászóláshoz be kell jelentkezni