 iptables,  sanpancho, 12-Июн-09, 08:50 [смотреть все]Доброе утро )
Ситуация такая - есть сервер c установленной ОС mandriva,это сервер выступает как интернет шлюз, на нём установлен прокся и почтовик. По топологии сети за этим сервером распологается сервер с Win 2003 (например, ip 10.1.1.1), там установлен Kerio Firewall и поднят VPN-сервер.Так вот я хочу из дома соединяться благодаря kerio vpn client соединяться c vpn сервером организации и попадать в сеть.
Понимаю что для этого надо настроить iptables на интернет шлюзе, чтоб он пакеты с определенного ip адреса и порта направлял на vpn сервер.
Люди подскажите как правильно это сделать ??
порт у vpn сервера - 4090.
мой ip - 12.12.12.12 вот мой вариант - iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -j DNAT --to-destination 10.1.1.1:4090
iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -p tcp --sport 4090 -j SNAT --to-source 12.12.12.12:4090 я так делал и что то не вышло.
|
- iptables, gennadys, 09:34 , 12-Июн-09 (1)
- iptables, sanpancho, 09:36 , 12-Июн-09 (2)
А как проверить включена маршрутизация или нет ?
- iptables, sonkilla, 09:47 , 12-Июн-09 (3)
- iptables, sanpancho, 10:09 , 12-Июн-09 (4)
Включено.
Добавил:
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m state --state NEW -j ACCEPTВсе равно не идёт.
Пишет запрос на установление отклонен сервером.
Может логи стоит на сервере посмотреть ? >>А как проверить включена маршрутизация или нет ?
>
> cat /proc/sys/net/ipv4/ip_forward если там значение 1 то включена если 0 то
>выключена незнаю как в вашем дистрибутиве но скарей всего так как
>он редхат лайк то тут vi /etc/sysctl.conf
># Controls IP packet forwarding
>net.ipv4.ip_forward = 0
>
>поменять 0 на 1 и ребут сети
- iptables, gennadys, 11:08 , 12-Июн-09 (5)
- iptables, sanpancho, 11:35 , 12-Июн-09 (7)
запрос на установление отклонен сервером - может сервер который интернет шлюз ?? с настройками впн сервера всё нормуль, там чётко прописано с какого ip можно создавать vpn-туннель. А куда будут сыпаться логи для фильтра пакета ?? >[оверквотинг удален]
>>Пишет запрос на установление отклонен сервером.
>>Может логи стоит на сервере посмотреть ?
>
>Посмотрите логи. Можете включить логи и для фильтра пакетов:
>
>iptables -t mangle -A FORWARD -p tcp --dport 4090 -LOG ACCEPT
>iptables -t mangle -A FORWARD -p tcp --sport 4090 -LOG ACCEPT
>
>Если сервер отвечает, то очевидно, что пакеты проходят. Значит нужно смотреть настройки
>самого VPN-сервера.
- iptables, gennadys, 11:11 , 12-Июн-09 (6)
- iptables, sanpancho, 11:36 , 12-Июн-09 (8)
Нет, он отключен.
>Кстати, а виндовый файрвол не блокирует пакеты?
- iptables, reader, 12:11 , 12-Июн-09 (9)
- iptables, sanpancho, 13:31 , 12-Июн-09 (10)
eth0 - интерфейс который смотрит в стороноу провайдера, а eth1 в сторону локалки.
>
>интересно у вас получается, DNAT делаете на eth0 и если это интерфейс
>смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл
>такого SNAT не понятен
>
>покажите iptables-save и укажите какие интерфейсы куда смотрят
- iptables, sanpancho, 13:32 , 12-Июн-09 (11)
а надо на сервере интернет шлюз открывать порт 4090 ??
чтобы к нему коннектился клиент..
- iptables, reader, 13:52 , 12-Июн-09 (12)
- iptables, sanpancho, 14:53 , 12-Июн-09 (13)
iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2
iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT
ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает ошибку Невозможно организовать туннелирование данных.
Надо в postrouting написать.
помогите..
- iptables, reader, 15:30 , 12-Июн-09 (14)
- iptables, sonkilla, 16:02 , 12-Июн-09 (15)
|
Версия для распечатки
