форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение		[ Отслеживать ]

"Проброс порта в iptables на определенный адрес"	–1 +/–
Сообщение от niknav (ok) on 04-Авг-12, 15:24
Подскажите какое правило мне написать в iptables(linux debian) чтобы пробросить порт с vpn сервера с адресом 192.168.2.6/24 из локальной сети в интернет. Но так чтобы доступ к нему был не у всех, а только у тех адресов которые там прописаны.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проброс порта в iptables на определенный адрес"	–1 +/–
Сообщение от reader (ok) on 04-Авг-12, 18:27
> Подскажите какое правило мне написать в iptables(linux debian) чтобы пробросить порт с > vpn сервера с адресом 192.168.2.6/24 из локальной сети в интернет. Но > так чтобы доступ к нему был не у всех, а только > у тех адресов которые там прописаны. проброс делается с помощью dnat если конечно вам именно проброс нужен, из описания не понятно что вам нужно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проброс порта в iptables на определенный адрес"	–1 +/–
Сообщение от Дядя_Федор on 04-Авг-12, 20:08
Документацию по iptables на этом сайте попробуйте прочитать. Возможно, этот и следующие вопросы отпадут сами собой. Или Вы так и собираетесь по каждому правилу, которое Вам необходимо на форум обращаться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Проброс порта в iptables на определенный адрес"	+/–
Сообщение от LSTemp (ok) on 06-Авг-12, 06:27
> Подскажите какое правило мне написать в iptables(linux debian) чтобы пробросить порт с > vpn сервера с адресом 192.168.2.6/24 из локальной сети в интернет. Но > так чтобы доступ к нему был не у всех, а только > у тех адресов которые там прописаны. м/б из инета порт к серому ВПН-серверу ч/з шлюз пробросить пробросить надо? тогда так: iptables -t nat -A PREROUTING -i WAN_IF -p tcp -s x.x.x.x -d WAN_IP --dport 1723 -j DNAT --to-destination 192.168.2.6 WAN_IF - имя внешнего интерфейса шлюза WAN_IP - внешний ИП шлюза x.x.x.x - ИП, с которого соединения к локальному ВПН-серверу пробрасываться должны. разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Проброс порта в iptables на определенный адрес"	+/–
	Сообщение от Aquarius (ok) on 06-Авг-12, 17:51
	>[оверквотинг удален] >> так чтобы доступ к нему был не у всех, а только >> у тех адресов которые там прописаны. > м/б из инета порт к серому ВПН-серверу ч/з шлюз пробросить пробросить надо? > тогда так: > iptables -t nat -A PREROUTING -i WAN_IF -p tcp -s x.x.x.x -d > WAN_IP --dport 1723 -j DNAT --to-destination 192.168.2.6 > WAN_IF - имя внешнего интерфейса шлюза > WAN_IP - внешний ИП шлюза > x.x.x.x - ИП, с которого соединения к локальному ВПН-серверу пробрасываться должны. > разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter. это только управление, а где GRE?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Проброс порта в iptables на определенный адрес"	+/–
	Сообщение от LSTemp (ok) on 07-Авг-12, 21:54
	>[оверквотинг удален] >>> у тех адресов которые там прописаны. >> м/б из инета порт к серому ВПН-серверу ч/з шлюз пробросить пробросить надо? >> тогда так: >> iptables -t nat -A PREROUTING -i WAN_IF -p tcp -s x.x.x.x -d >> WAN_IP --dport 1723 -j DNAT --to-destination 192.168.2.6 >> WAN_IF - имя внешнего интерфейса шлюза >> WAN_IP - внешний ИП шлюза >> x.x.x.x - ИП, с которого соединения к локальному ВПН-серверу пробрасываться должны. >> разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter. > это только управление, а где GRE? вот: "разрешить форвард на шлюзе и подгрузить соответствующий модуль netfilter" 1) [root@local netfilter]# uname -a Linux local 2.6.17-1.2142_FC4 #1 Tue Jul 11 22:41:14 EDT 2006 i686 athlon i386 GNU/Linux [root@local netfilter]# pwd /lib/modules/2.6.17-1.2142_FC4/kernel/net/netfilter [root@local netfilter]# ls|grep pp [root@local netfilter]# ls|grep gre 2) [root@localhost netfilter]# uname -a Linux localhost.localdomain 3.4.6-2.fc17.i686.PAE #1 SMP Thu Jul 19 21:49:03 UTC 2012 i686 i686 i386 GNU/Linux [root@localhost netfilter]# pwd /lib/modules/3.4.6-2.fc17.i686.PAE/kernel/net/netfilter [root@localhost netfilter]# ls|grep pptp nf_conntrack_pptp.ko [root@localhost netfilter]# ls|grep gre nf_conntrack_proto_gre.ko Итого: 1) на современных системах достаточно проброса управляющего соединения - остальное на себя возьмут conntrack-модули 2) что там за дебиан у автора стоит и что в нем есть неизвестно => толку 0 давать конкретный совет по реализации форварда и подгрузки модулей iptables, пока ситуация не прояснится 3) исходя из вышесказанного был дан общий совет, в какую сторону смотреть для решения вопроса. если человек, роя в этом направлении, сам разберется - значит хорошо, если нет - значит задавая доп. вопросы уже чуть-чуть будет понимать о чем речь идет
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Проброс порта в iptables на определенный адрес"	+/–
	Сообщение от niknav (ok) on 08-Авг-12, 09:51
	>[оверквотинг удален] > возьмут conntrack-модули > 2) > что там за дебиан у автора стоит и что в нем есть > неизвестно => толку 0 давать конкретный совет по реализации форварда и > подгрузки модулей iptables, пока ситуация не прояснится > 3) > исходя из вышесказанного был дан общий совет, в какую сторону смотреть для > решения вопроса. если человек, роя в этом направлении, сам разберется - > значит хорошо, если нет - значит задавая доп. вопросы уже чуть-чуть > будет понимать о чем речь идет Всем спасибо. я разобрался с настройками iptables. и сейчас vpn подключение с разрешенных адресов работает нормально. И GRE тоже настроил, теперь исходящие и входящие vpn подключения работают.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема