nixp.ru v3.0

23 января 2017,
понедельник,
17:56:52 MSK

DevOps с компанией «Флант»
fxtheatre написал 25 июля 2006 года в 12:15 (825 просмотров) Ведет себя неопределенно; открыл 3 темы в форуме, оставил 2 комментария на сайте.

Привет. Дайте совет куда смотреть. Настроил openvpn на линукс-роутере. Соединяюсь извне с виндовс — коннектится, загораются лампочки зеленые в трее :) Но попытки пинговать внутреннюю сеть или получить к ней доступ другими методами не работают. Уже что только не прописывал в iptables — ни фига! Работать начинает только при раскомментированной строке #$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -j SNAT —to-source $LAN_IP но после нее смысл файрволла теряется. Запутался совсем. Помогите советом. Заранее спасибо.

Genie

# echo «1» > /proc/sys/net/ipv4/ip_forward на шлюзе делается?..

кроме того, давай, показывай состояние iptables-save

ну и для кучки конфиг pptp (без комментариев)

fly4life
Genie
# echo «1» > /proc/sys/net/ipv4/ip_forward на шлюзе делается?..

Если б не делалось, то и раскоментирование указанного правила для SNAT не помогало бы, не так ли ;).

Genie
ну и для кучки конфиг pptp (без комментариев)

Кхм, конфиг openvpn =)

fxtheatre

Начал выставлять «все как было» чтобы привести конфиги, так теперь клиент мне при соединении пишет:

Tue Jul 25 13:18:13 2006 us=76302 TCP/UDP: Socket bind failed on local address [undef]:5001: Address already in use (WSAEADDRINUSE)

Что это такое? Опять меня обманывают! :(

Genie

это значит, что всё еще работает ранее запущенная копия openvpn (я правильно понимаю, что пытаешься его запустить?)

fxtheatre

Конфиг клиента:

remote 172.16.0.1

port 5001

proto udp

dev tun

tun-mtu 1500

ifconfig 10.23.0.1 10.23.0.2

secret «c:\\program files\\openvpn\\config\\key.txt»

comp-lzo

verb 0

mute 10

ping 10

comp-lzo

verb 4

mute 10

Конфиг сервера:

dev tun

ifconfig 10.23.0.1 10.23.0.2

secret /etc/openvpn/port5001.key

port 5001

proto udp

user nobody

group nobody

comp-lzo

ping 15

verb 1

Конфиг iptables:

INET_IP=«172.16.0.1»

INET_IFACE=«eth1»

INET_BROADCAST=«172.16.0.255»

LAN_IP=«192.168.0.2»

LAN_IP_RANGE=«192.168.0.0/16»

LAN_IFACE=«eth0»

LO_IFACE=«lo»

LO_IP=«127.0.0.1»

#VPN Configuration

VPN_IP=«10.23.0.1»

VPN_IFACE=«tun0»

IPTABLES=«/sbin/iptables»

iptables -F

iptables -t nat -F

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

/sbin/depmod -a

#

# 2.1 Required modules

#

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

#/sbin/modprobe ipt_owner

#/sbin/modprobe ipt_REJECT

/sbin/modprobe ipt_MASQUERADE

#/sbin/modprobe ip_conntrack_ftp

#/sbin/modprobe ip_conntrack_irc

#/sbin/modprobe ip_nat_ftp

#/sbin/modprobe ip_nat_irc

echo «1» > /proc/sys/net/ipv4/ip_forward

#echo «1» > /proc/sys/net/ipv4/conf/all/rp_filter

#echo «1» > /proc/sys/net/ipv4/conf/all/proxy_arp

#echo «1» > /proc/sys/net/ipv4/ip_dynaddr

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed

$IPTABLES -N tcp_packets

$IPTABLES -N udp_packets

$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp —tcp-flags SYN,ACK SYN,ACK \

-m state —state NEW -j REJECT —reject-with tcp-reset

$IPTABLES -A bad_tcp_packets -p tcp ! —syn -m state —state NEW -j LOG \

—log-prefix «New not syn:»

$IPTABLES -A bad_tcp_packets -p tcp ! —syn -m state —state NEW -j DROP

$IPTABLES -A allowed -p TCP —syn -j ACCEPT

$IPTABLES -A allowed -p TCP -m state —state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 —dport 21 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 —dport 22 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 —dport 80 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 —dport 113 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 —dport 8004 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 —dport 8090 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 —dport 5001 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 —destination-port 53 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 —destination-port 123 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 —destination-port 2074 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 —destination-port 4000 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 —destination-port 5001 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 —icmp-type 8 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 —icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $VPN_IP -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE —dport 67 —sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state —state ESTABLISHED,RELATED \

-j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets

$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets

$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#Rules for VPN

$IPTABLES -A INPUT -p ALL -d $VPN_IP -m state —state ESTABLISHED,RELATED \

-j ACCEPT

$IPTABLES -A INPUT -p TCP -i $VPN_IFACE -j tcp_packets

$IPTABLES -A INPUT -p UDP -i $VPN_IFACE -j udp_packets

$IPTABLES -A INPUT -p ICMP -i $VPN_IFACE -j icmp_packets

$IPTABLES -A INPUT -m limit —limit 3/minute —limit-burst 3 -j LOG \

—log-level DEBUG —log-prefix «IPT INPUT packet died: »

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -i $INET_IFACE -j ACCEPT

$IPTABLES -A FORWARD -i $VPN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -m state —state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit —limit 3/minute —limit-burst 3 -j LOG \

—log-level DEBUG —log-prefix «IPT FORWARD packet died: »

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $VPN_IP -j ACCEPT

$IPTABLES -A OUTPUT -m limit —limit 3/minute —limit-burst 3 -j LOG \

—log-level DEBUG —log-prefix «IPT OUTPUT packet died: »

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT —to-source $INET_IP

$IPTABLES -t nat -A POSTROUTING -o $VPN_IFACE -j SNAT —to-source $VPN_IP

#$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -j SNAT —to-source $LAN_IP

fly4life

fxtheatre, покажи таблицу маршрутизации на линукс-роутере и виндовой машине после установки vpn-соединения.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.