iptables, sanpancho, 12-Июн-09, 08:50 [смотреть все]Доброе утро ) Ситуация такая - есть сервер c установленной ОС mandriva,это сервер выступает как интернет шлюз, на нём установлен прокся и почтовик. По топологии сети за этим сервером распологается сервер с Win 2003 (например, ip 10.1.1.1), там установлен Kerio Firewall и поднят VPN-сервер.Так вот я хочу из дома соединяться благодаря kerio vpn client соединяться c vpn сервером организации и попадать в сеть. Понимаю что для этого надо настроить iptables на интернет шлюзе, чтоб он пакеты с определенного ip адреса и порта направлял на vpn сервер. Люди подскажите как правильно это сделать ?? порт у vpn сервера - 4090. мой ip - 12.12.12.12 вот мой вариант - iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -j DNAT --to-destination 10.1.1.1:4090 iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -p tcp --sport 4090 -j SNAT --to-source 12.12.12.12:4090 я так делал и что то не вышло.
|
- iptables, gennadys, 09:34 , 12-Июн-09 (1)
- iptables, sanpancho, 09:36 , 12-Июн-09 (2)
А как проверить включена маршрутизация или нет ?
- iptables, sonkilla, 09:47 , 12-Июн-09 (3)
- iptables, sanpancho, 10:09 , 12-Июн-09 (4)
Включено. Добавил: iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -m state --state NEW -j ACCEPTВсе равно не идёт. Пишет запрос на установление отклонен сервером. Может логи стоит на сервере посмотреть ? >>А как проверить включена маршрутизация или нет ? > > cat /proc/sys/net/ipv4/ip_forward если там значение 1 то включена если 0 то >выключена незнаю как в вашем дистрибутиве но скарей всего так как >он редхат лайк то тут vi /etc/sysctl.conf ># Controls IP packet forwarding >net.ipv4.ip_forward = 0 > >поменять 0 на 1 и ребут сети
- iptables, gennadys, 11:08 , 12-Июн-09 (5)
- iptables, sanpancho, 11:35 , 12-Июн-09 (7)
запрос на установление отклонен сервером - может сервер который интернет шлюз ?? с настройками впн сервера всё нормуль, там чётко прописано с какого ip можно создавать vpn-туннель. А куда будут сыпаться логи для фильтра пакета ?? >[оверквотинг удален] >>Пишет запрос на установление отклонен сервером. >>Может логи стоит на сервере посмотреть ? > >Посмотрите логи. Можете включить логи и для фильтра пакетов: > >iptables -t mangle -A FORWARD -p tcp --dport 4090 -LOG ACCEPT >iptables -t mangle -A FORWARD -p tcp --sport 4090 -LOG ACCEPT > >Если сервер отвечает, то очевидно, что пакеты проходят. Значит нужно смотреть настройки >самого VPN-сервера.
- iptables, gennadys, 11:11 , 12-Июн-09 (6)
- iptables, sanpancho, 11:36 , 12-Июн-09 (8)
Нет, он отключен. >Кстати, а виндовый файрвол не блокирует пакеты?
- iptables, reader, 12:11 , 12-Июн-09 (9)
- iptables, sanpancho, 13:31 , 12-Июн-09 (10)
eth0 - интерфейс который смотрит в стороноу провайдера, а eth1 в сторону локалки. > >интересно у вас получается, DNAT делаете на eth0 и если это интерфейс >смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл >такого SNAT не понятен > >покажите iptables-save и укажите какие интерфейсы куда смотрят
- iptables, sanpancho, 13:32 , 12-Июн-09 (11)
а надо на сервере интернет шлюз открывать порт 4090 ?? чтобы к нему коннектился клиент..
- iptables, reader, 13:52 , 12-Июн-09 (12)
- iptables, sanpancho, 14:53 , 12-Июн-09 (13)
iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2 iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает ошибку Невозможно организовать туннелирование данных.
Надо в postrouting написать. помогите..
- iptables, reader, 15:30 , 12-Июн-09 (14)
- iptables, sonkilla, 16:02 , 12-Июн-09 (15)
|