fxtheatre
написал 25 июля 2006 года в 12:15 (1957 просмотров)
Ведет себя
неопределенно; открыл 3 темы в форуме, оставил 2 комментария на сайте.
Привет. Дайте совет куда смотреть. Настроил openvpn на линукс-роутере. Соединяюсь извне с виндовс — коннектится, загораются лампочки зеленые в трее :) Но попытки пинговать внутреннюю сеть или получить к ней доступ другими методами не работают. Уже что только не прописывал в iptables — ни фига! Работать начинает только при раскомментированной строке #$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -j SNAT --to-source $LAN_IP но после нее смысл файрволла теряется. Запутался совсем. Помогите советом. Заранее спасибо.
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
# echo «1» > /proc/sys/net/ipv4/ip_forward на шлюзе делается?..
кроме того, давай, показывай состояние iptables-save
ну и для кучки конфиг pptp (без комментариев)
Если б не делалось, то и раскоментирование указанного правила для SNAT не помогало бы, не так ли ;).
Кхм, конфиг openvpn =)
Начал выставлять «все как было» чтобы привести конфиги, так теперь клиент мне при соединении пишет:
Tue Jul 25 13:18:13 2006 us=76302 TCP/UDP: Socket bind failed on local address [undef]:5001: Address already in use (WSAEADDRINUSE)
Что это такое? Опять меня обманывают! :(
это значит, что всё еще работает ранее запущенная копия openvpn (я правильно понимаю, что пытаешься его запустить?)
Конфиг клиента:
remote 172.16.0.1
port 5001
proto udp
dev tun
tun-mtu 1500
ifconfig 10.23.0.1 10.23.0.2
secret «c:\\program files\\openvpn\\config\\key.txt»
comp-lzo
verb 0
mute 10
ping 10
comp-lzo
verb 4
mute 10
Конфиг сервера:
dev tun
ifconfig 10.23.0.1 10.23.0.2
secret /etc/openvpn/port5001.key
port 5001
proto udp
user nobody
group nobody
comp-lzo
ping 15
verb 1
Конфиг iptables:
INET_IP=«172.16.0.1»
INET_IFACE=«eth1»
INET_BROADCAST=«172.16.0.255»
LAN_IP=«192.168.0.2»
LAN_IP_RANGE=«192.168.0.0/16»
LAN_IFACE=«eth0»
LO_IFACE=«lo»
LO_IP=«127.0.0.1»
#VPN Configuration
VPN_IP=«10.23.0.1»
VPN_IFACE=«tun0»
IPTABLES=«/sbin/iptables»
iptables -F
iptables -t nat -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
/sbin/depmod -a
#
# 2.1 Required modules
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc
echo «1» > /proc/sys/net/ipv4/ip_forward
#echo «1» > /proc/sys/net/ipv4/conf/all/rp_filter
#echo «1» > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo «1» > /proc/sys/net/ipv4/ip_dynaddr
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix «New not syn:»
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8004 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8090 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 5001 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 5001 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $VPN_IP -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#Rules for VPN
$IPTABLES -A INPUT -p ALL -d $VPN_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $VPN_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $VPN_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $VPN_IFACE -j icmp_packets
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix «IPT INPUT packet died: »
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $INET_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $VPN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix «IPT FORWARD packet died: »
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $VPN_IP -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix «IPT OUTPUT packet died: »
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -o $VPN_IFACE -j SNAT --to-source $VPN_IP
#$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -j SNAT --to-source $LAN_IP
fxtheatre, покажи таблицу маршрутизации на линукс-роутере и виндовой машине после установки vpn-соединения.