Проброс портов iptables через webmin

[TGR3]

Добрый день. Бьюсь с одной задачой, скорее всего она легкая. Но я не имея знания, не могу понять как ее решить.Создаю впн SoftEther VPN Server Manager, в конторе где просто роутер, а за ним компы. Все сделал и работает. то есть можно пользоваться впном (проброс на роутере делаеться легко и http://www.dlink.ru/r/faq/233/1033.html  )  . В другой конторе стоить ubuntu и   iptables  через webmin.
Межсетевой экран Linux (firewall)
Файл с правилами /etc/iptables.up.rules настраиваю через webmin. Почту и другие сервисы настривал все хорошо, тут не могу понять как сделать правила.

(Нажмите, чтобы показать/скрыть)

  Эти правила надо сделать. Читая форум понимаю необходимо сделать
 (Настройка маршрутизации на стороне сервера
Если сервер имеет «белый» IP то никакой маршрутизации на стороне сервера настраивать не нужно. Если сервер находится в локальной сети за NAT роутера то необходимо настроить маршрутизацию.
Для того, чтобы клиенты могли достучаться до сервера нужно пробросить порты с роутера на сервер. В разных моделях это делается по разному. Суть в том, чтобы стучась на внешний порт, например 12345 1), клиенты попадали на порт OpenVPN-сервера 1194 (или другой, который мы задали для нашего сервера). Кроме того устройствам в локальной сети нужно сообщить, что для доступа к сети за OpenVPN-сервером нужно обращаться к нему. Но проще задать этот маршрут на роутере, который обслуживает локалку.)
А как правильно? может просто командами через терминал?
Буду признателен любому совету либо направлению. Заранее благодарю всех!

[fisher74]

А как правильно? может просто командами через терминал?

правильно так, как это правильно для этой модели роутера.

[TGR3]

правильно так, как это правильно для этой модели роутера.

нету роутера, там поднимается инет через Шлюз (Убунуту) фаервол iptables. Как правильно написать правило.

[fisher74]

Тогда я не понял Вашего опуса.
Что хотите узнать-то? Как пробросить порт или как добавить маршрут?

И что значит

может просто командами через терминал?

Я, например, все ubuntu-шлюзы только под терминалом и держу и другие варианты управления не приемлю.

[TGR3]

fisher74,
 пробросить порт, чтоб когда я пропишу в андроиде новый впн (L2TP/IPSec PSK) там адрес внешний, чтоб он попадал на сервер в этой локальной сети например 192.168.0.150 . порты 1701,500,4500,443 . Вот как это правильно сделать.

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

Здраствуйте. Я, Кирилл. Хотел бы чтобы вы сделали игру, 3Д-экшон суть такова... Пользователь может играть лесными эльфами, охраной дворца и злодеем. И если пользователь играет эльфами то эльфы в лесу, домики деревяные набигают солдаты дворца и злодеи. Можно грабить корованы... И эльфу раз лесные то сделать так что там густой лес... А движок можно поставить так что вдали деревья картинкой, когда подходиш они преобразовываются в 3-хмерные деревья[1]. Можно покупать и т.п. возможности как в Daggerfall. И враги 3-хмерные тоже, и труп тоже 3д. Можно прыгать и т.п. Если играть за охрану дворца то надо слушаться командира, и защищать дворец от злого (имя я не придумал) и шпионов, партизанов эльфов, и ходит на набеги на когото из этих (эльфов, злого...). Ну а если за злого... то значит шпионы или партизаны эльфов иногда нападают, пользователь сам себе командир может делать что сам захочет прикажет своим войскам с ним самим напасть на дворец и пойдет в атаку. Всего в игре 4 зоны. Т.е. карта и на ней есть 4 зоны, 1 - зона людей (нейтрал), 2- зона императора (где дворец), 3-зона эльфов, 4 - зона злого... (в горах, там есть старый форт...)

Так же чтобы в игре могли не только убить но и отрубить руку и если пользователя не вылечат то он умрет, так же выколоть глаз но пользователь может не умереть а просто пол экрана не видеть, или достать или купить протез, если ногу тоже либо умреш либо будеш ползать либо на коляске котаться, или самое хорошее... поставить протез. Сохранятся можно...

P.S. Я джва года хочу такую игру.

Пользователь добавил сообщение 23 Апреля 2018, 13:59:27:Разберитесь уже, где у вас что находится, а то из вашего потока сознания вычленить разумную информацию практически невозможно.

[TGR3]

AnrDaemon, шутка смешная наверно. Со стороны мой вопрос глупый и не понятный, я пытаюсь объяснить своими словами, что мне нужно. Возможно пишу глупость. мне нужно на Ubunte настроит правила iptables, как сделано это на роутере 

(Нажмите, чтобы показать/скрыть)

. 

[AnrDaemon]

шутка смешная наверно

Это не шутка, это то, как вы излагаете ситуацию.
Ещё раз.
Шлюзом стоит Ubuntu?
VPN сервер находится в сети за роутером?
И вы подключаетесь снаружи?
Показывайте текущие правила со шлюза.

Код: [Выделить]

sudo iptables-save

[TGR3]

AnrDaemon,
Шлюзом стоит Ubuntu?
да
VPN сервер находится в сети за роутером?
да
И вы подключаетесь снаружи?


Показывайте текущие правила со шлюза.

(Нажмите, чтобы показать/скрыть)

root@shluz:~# iptables-save
# Generated by iptables-save v1.4.18 on Mon Apr 23 16:22:54 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i ppp0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A INPUT -i dsl-provider -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A INPUT -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A INPUT -i ppp0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A INPUT -i ppp0 -j LOG
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth1 -j DROP
-A INPUT -s 192.168.0.0/24 -i ppp0 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 21,20,-j ACCEPT
-A INPUT -d 3.4.5.3/32 -p tcp -m tcp -m multiport --dports 443,1194,992,5555,1701,500,4500 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 8840,5555,1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 10000:10100 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i ppp0 -p tcp -m tcp -m multiport --dports 8000,54645,2788,2713 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 8070,5555 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 1.22.26.29/32 -j DROP
-A INPUT -j DROP
-A FORWARD -o ppp0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i ppp0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -o dsl-provider -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i dsl-provider -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -o ppp0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i ppp0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -o ppp0 -j LOG
-A FORWARD -i ppp0 -j LOG
-A FORWARD -s 192.168.0.0/24 -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -s ip/32 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i ppp0 -o eth1 -j ACCEPT
-A FORWARD -s ip/32 -i ppp0 -j ACCEPT
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp -m multiport --dports 8840,5555,1194 -j ACCEPT
-A FORWARD -p tcp -m tcp -m multiport --dports 5555,1194 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp -m multiport --dports 21,20,33,1194,82,83,81,44,37777,37778,8081,1723,1792 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 10000:14000 -j ACCEPT
-A FORWARD -p tcp -m tcp -m multiport --dports 8070,80,5555 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24
-A FORWARD -s 82.5.254.190/32 -i ppp0 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 1982 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp -m multiport --dports 443,1194,992,5555,1701,500,4500 -j DROP
-A FORWARD -j DROP
-A OUTPUT -o ppp0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A OUTPUT -o dsl-provider -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A OUTPUT -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A OUTPUT -o ppp0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A OUTPUT -o ppp0 -j LOG
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Mon Apr 23 16:22:54 2018
# Generated by iptables-save v1.4.18 on Mon Apr 23 16:22:54 2018
*mangle
:PREROUTING ACCEPT [25362425:18604351801]
:INPUT ACCEPT [2079956:1309655230]
:FORWARD ACCEPT [23278471:17290931585]
:OUTPUT ACCEPT [1965171:1351343271]
:POSTROUTING ACCEPT [25236380:18641576089]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 10000:14000 -j ACCEPT
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 20 -j ACCEPT
COMMIT
# Completed on Mon Apr 23 16:22:54 2018
# Generated by iptables-save v1.4.18 on Mon Apr 23 16:22:54 2018
*nat
:PREROUTING ACCEPT [366245:36525067]
:INPUT ACCEPT [55753:4613844]
:OUTPUT ACCEPT [162904:9778878]
:POSTROUTING ACCEPT [25681:1256520]
-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m tcp -m multiport --dports 80,8080,8083 -j DNAT --to-destination 192.168.0.1:31
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 10000:10100 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 8840 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -i ppp0 -p tcp -m tcp -m multiport --dports 8080,8083 -j DNAT --to-destination 192.168.1.20:8080-8083
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 8070 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 33 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 13000:14000 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 1194 -j DNAT --to-destination 192.168.0.9:1194
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.0.9:80
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp -m multiport --dports 82,83,81,44,37777,37778 -j DNAT --to-destination 192.168.0.9
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 389 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.
-A PREROUTING -d 3.4.5.3/32 -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.200:3389
-A OUTPUT -d 3.4.5.3/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.
-A OUTPUT -d 3.4.5.3/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.
-A OUTPUT -d 3.4.5.3/32 -p tcp -m tcp -m multiport --dports 8080,8083
-A OUTPUT -d 3.4.5.3/32 -p tcp -m tcp --dport 8070 -j DNAT --to-destination 192.168.
-A OUTPUT -d 3.4.5.3/32 -p tcp -m tcp -m multiport --dports 82,83,81,44,37777,37778 -j DNAT --to-destination 192.168.0.9
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -d 192.168.0/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -d 192.168.0/32 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -d 192.168.0.9/32 -p tcp -m tcp -m multiport --dports 82,83,81,44,37777,37778 -j SNAT --to-source 192.168.0.1
COMMIT
# Completed on Mon Apr 23 16:22:54 2018
root@shluz:~#

[AnrDaemon]

Ну и? Что мешает ещё парочку DNAT добавить?

[TGR3]

AnrDaemon,
я добавлял правило, но это не работало. Тут их нету, утром удалил эти правила.
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 500 -j DNAT --to-destination 192.168.0.150
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 1701 -j DNAT --to-destination 192.168.0.150
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 4500 -j DNAT --to-destination 192.168.0.150
-A PREROUTING -d 3.4.5.3/32 -p tcp -m tcp --dport 443-j DNAT --to-destination 192.168.0.150

только и всего?

[fisher74]

Во-первых, 443 порт у Вас уже в работе - Вы его на какой-то секретный сервер в локальной сети отправляете (очень было важно его внутренний адрес спрятать от нас)
Во-вторых, помино nat-а, нужно было ещё и разрешить эти пакеты форвардить.

[TGR3]

fisher74,
почта
форвардить

-A FORWARD -i ppp0 -p tcp -m tcp -m multiport --dports 8840,5555,1194,1701,500,4500 -j ACCEPT


?

а прячу для спокойствия, мог написать любой апи это же не критично.

Как вы кстати считаете защита правильна сделана? или дырявая? может закрыть что то?

[AnrDaemon]

Где защита? Не увидел. А, вижу. Костыль.

[fisher74]

)))