Техническая поддержка

www.ingineer.ru
Регистрируйтесь и задавайте вопросы, делитесь опытом.
Если что обращайтесь:
e-mail: обратная связь.
Не востребованные пользователи будут удаляться!
Текущее время: 22 сен 2017, 02:19

Часовой пояс: UTC + 5 часов




Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Доступ извне
СообщениеДобавлено: 29 июн 2010, 13:20 
Не в сети

Зарегистрирован: 29 июн 2010, 13:09
Сообщения: 7
Добрый день!
Помогите пожалуйста новичку настроить iptables

Задача следующая:
Мне нужно подключиться по OpenVPN через интерфейс eth0(172.16.254.250:5000) к VPN шлюзу на Убунте.
Соответственно есть интерфейс eth1(192.168.100.200), который смотрит в локальную сеть.
Нужно настроить iptables так, чтобы можно было подключаться только по 5000 порту из любой точки(из кафе, из дома и т.д.)

Заранее благодарен за помощь! =)


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 30 июн 2010, 11:58 
Не в сети
Администратор
Аватара пользователя

Зарегистрирован: 24 мар 2008, 10:49
Сообщения: 131
Откуда: г. Пермь
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A INPUT -i eth0 -p tcp --dport 5000 -j ACCEPT
$IPTABLES -t filter -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
$IPTABLES -t filter -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 30 июн 2010, 16:56 
Не в сети

Зарегистрирован: 29 июн 2010, 13:09
Сообщения: 7
Хммм =) Интересно

Я не до конца понимаю, что с сим кодом делать?
Просто вставить в существующий файлик iptables.conf?

# Generated by iptables-save v1.4.1.1 on Tue Jun 29 17:05:09 2010
*mangle
:PREROUTING ACCEPT [415570667:246780476655]
:INPUT ACCEPT [138834277:85991483904]
:FORWARD ACCEPT [276388059:160746473330]
:OUTPUT ACCEPT [101793309:97216957906]
:POSTROUTING ACCEPT [378235613:257977250044]
COMMIT
# Completed on Tue Jun 29 17:05:09 2010
# Generated by iptables-save v1.4.1.1 on Tue Jun 29 17:05:09 2010
*filter
:INPUT ACCEPT [460969510:287449681317]
:FORWARD ACCEPT [924644308:583846872707]
:OUTPUT ACCEPT [511179509:426854776431]
:from-ext - [0:0]
-A INPUT -i eth0 -j from-ext
-A FORWARD -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p tcp -m tcp --dport 3128 -j DROP
-A FORWARD -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p udp -m udp --dport 1080 -j DROP
-A FORWARD -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p tcp -m tcp --dport 1080 -j DROP
-A from-ext -p tcp -m tcp --sport 1194 -j ACCEPT
-A from-ext -p tcp -m tcp --dport 1194 -j ACCEPT
-A from-ext -p tcp -m tcp --sport 5222 -j ACCEPT
-A from-ext -p tcp -m tcp --dport 25 -j ACCEPT
-A from-ext -s 62.117.81.116/32 -j ACCEPT
-A from-ext -p udp -m udp --dport 1194 -j ACCEPT
-A from-ext -s 62.117.81.116/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A from-ext -p udp -m udp --sport 53 -j ACCEPT
-A from-ext -p tcp -m tcp --sport 25 -j ACCEPT
-A from-ext -p tcp -m tcp --sport 443 -j ACCEPT
-A from-ext -p tcp -m tcp --sport 80 -j ACCEPT
-A from-ext -p tcp -m tcp --sport 8080 -j ACCEPT
-A from-ext -p tcp -m tcp --sport 53 -j ACCEPT
-A from-ext -p tcp -m tcp --dport 80 -j LOG
-A from-ext -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Jun 29 17:05:09 2010
# Generated by iptables-save v1.4.1.1 on Tue Jun 29 17:05:09 2010
*nat
:PREROUTING ACCEPT [52480563:4876115213]
:POSTROUTING ACCEPT [9174096:666009437]
:OUTPUT ACCEPT [9118446:658413516]
-A PREROUTING -d 92.243.188.204/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.5.56:80
-A PREROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -i eth1 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.5.2:3129
-A PREROUTING -s 192.168.5.65/32 -d ! 192.168.0.0/16 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.5.2:3129
-A PREROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.5.2:3129
-A POSTROUTING -s 192.168.5.0/24 -d 192.168.100.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -d 92.241.167.149/32 -j ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p udp -m udp --dport 1194 -j SNAT --to-source 92.243.188.204
-A POSTROUTING -s 192.168.5.51/32 -d ! 192.168.0.0/16 -p udp -m udp --dport 80 -j SNAT --to-source 92.243.188.204
-A POSTROUTING -s 192.168.5.0/24 -d 172.16.1.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -j SNAT --to-source 92.243.188.204
-A POSTROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p icmp -j SNAT --to-source 92.243.188.204
-A POSTROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p tcp -m tcp --dport 5190 -j SNAT --to-source 92.243.188.204
-A POSTROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p tcp -m tcp --dport 110 -j SNAT --to-source 92.243.188.204
-A POSTROUTING -s 192.168.5.0/24 -d ! 192.168.0.0/16 -p tcp -m tcp --dport 25 -j SNAT --to-source 92.243.188.204
COMMIT
# Completed on Tue Jun 29 17:05:09 2010


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 30 июн 2010, 17:25 
Не в сети
Администратор
Аватара пользователя

Зарегистрирован: 24 мар 2008, 10:49
Сообщения: 131
Откуда: г. Пермь
yurbec писал(а):
Хммм =) Интересно

Я не до конца понимаю, что с сим кодом делать?
Просто вставить в существующий файлик iptables.conf?

код стандартный, для команд системы, а у вас просто прямой конфиг IPTABLES вот и вся разница.

просто добавте в свой конфиг строку:
-A from-ext -p tcp --dport 5000 -j ACCEPT
ниже строки:
-A INPUT -i eth0 -j from-ext
и выше строки:
-A from-ext -j REJECT --reject-with icmp-port-unreachable


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 30 июн 2010, 18:27 
Не в сети

Зарегистрирован: 29 июн 2010, 13:09
Сообщения: 7
Спасибо огромное за помощь!!! :D

Последнее. Если Вас не затруднит, могли бы Вы прокомментировать каждую строчку, что она выполняет?
Я, честно говоря, запутался сильно. Может, свежим взглядом посмотрев, понятнее будет.

Заранее благодарен


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 07 июл 2010, 16:06 
Не в сети

Зарегистрирован: 29 июн 2010, 13:09
Сообщения: 7
Добрый день, Роман!

Подскажите пожалуйста, как сделать цепочки правил, чтобы вновь вошедший клиент получал IP, который за ним бы и оставался, откуда бы он не подключался?

Заранее спасибо, Юрий


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 07 июл 2010, 16:19 
Не в сети
Администратор
Аватара пользователя

Зарегистрирован: 24 мар 2008, 10:49
Сообщения: 131
Откуда: г. Пермь
yurbec писал(а):
Добрый день, Роман!

Подскажите пожалуйста, как сделать цепочки правил, чтобы вновь вошедший клиент получал IP, который за ним бы и оставался, откуда бы он не подключался?

Заранее спасибо, Юрий

К IPTABLES это отношения не имеет, это настройки DHCP


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 08 июл 2010, 13:20 
Не в сети

Зарегистрирован: 29 июн 2010, 13:09
Сообщения: 7
Мне надо по openvpn подключиться к серверу по определенному порту.
Сеть, к которой нужно подключиться 172.16.0.0/16
Адрес, к которому нужно подключиться 172.16.254.хх:1723
Через этот адрес надо увидеть внутреннюю локальную сеть по адресу 192.168.100.хх
Соответственно, сегмент, к которому подключаемся будет 192.168.100.0/24
Как мне сделать так, чтобы я мог подключиться по vpn к уже поднятому на серваке ubuntu openvpn, чтобы я получил адрес, который можно будет забить уже ручками в настройки iptables, чтоб в следующий раз при подключении мне выдавался тот же адрес?
Гуглю уже 2 недели - ничего стоящего, ктоме мануалок к iptables не нашёл... какие-то банальные примеры, которые я и так знаю =(
Вот и гадаю, мозг уже не справляется... =(
HELP


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 08 июл 2010, 14:46 
Не в сети
Администратор
Аватара пользователя

Зарегистрирован: 24 мар 2008, 10:49
Сообщения: 131
Откуда: г. Пермь
Не то копаешь, тебе надо копать настройки VPN, т.е. нужно настроить VPN так, чтобы по логину/паролю выдавался один конкретный IP, а потом уже исходя кокому пользователю куда чё нада уже и настраивать пробросы IPTABLES по определённым IP пользователя ...


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Доступ извне
СообщениеДобавлено: 08 июл 2010, 15:14 
Не в сети

Зарегистрирован: 29 июн 2010, 13:09
Сообщения: 7
наверное так и есть))
Я пока что мало понимаю в сетевых технологиях... литературы прочитал много, а рактики практически никакой
а как настроить vpn, чтоб IPшники запоминал?
пробросы в iptables я думаю, сделаю уж сам


Вернуться к началу
 Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 5 часов


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB