маршрутизация двух подсетей + впн

[fisher74]

sudo iptables-save ещё попросим

[stempher]

sudo iptables-save ещё попросим

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sun Nov  3 09:32:35 2013
*nat
:PREROUTING ACCEPT [21648:2439409]
:INPUT ACCEPT [24362:2511031]
:OUTPUT ACCEPT [14779:907316]
:POSTROUTING ACCEPT [14804:908644]
-A PREROUTING -s 10.0.0.0/24 -i ppp+ -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 82.x.x.x
COMMIT
# Completed on Sun Nov  3 09:32:35 2013
# Generated by iptables-save v1.4.12 on Sun Nov  3 09:32:35 2013
*mangle
:PREROUTING ACCEPT [2078771:1436763921]
:INPUT ACCEPT [2068010:1433728471]
:FORWARD ACCEPT [9151:2586623]
:OUTPUT ACCEPT [2429225:2034753280]
:POSTROUTING ACCEPT [2438360:2037339263]
COMMIT
# Completed on Sun Nov  3 09:32:35 2013
# Generated by iptables-save v1.4.12 on Sun Nov  3 09:32:35 2013
*filter
:INPUT DROP [33:4069]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets_ext - [0:0]
:tcp_packets_int - [0:0]
:udp_packets_ext - [0:0]
:udp_packets_int - [0:0]
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 10.175.8.0/21 -i eth2 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 10.0.0.0/24 -d 10.0.0.1/32 -j ACCEPT
-A INPUT -d 82.x.x.x/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets_ext
-A INPUT -i eth0 -p udp -j udp_packets_ext
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: "
-A FORWARD -j bad_packets
-A FORWARD -p tcp -j tcp_packets_int
-A FORWARD -p udp -j udp_packets_int
-A FORWARD -p icmp -j icmp_packets
-A FORWARD -i eth0 -p tcp -m multiport --dports 25,80,110,3389,4899 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 10.175.8.3/32 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -s 10.0.0.0/24 -j ACCEPT
-A OUTPUT -o ppp+ -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: "
-A bad_packets -s 10.0.0.0/24 -i eth0 -j LOG --log-prefix "Illegal source: "
-A bad_packets -s 10.0.0.0/24 -i eth0 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "Invalid packet: "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A tcp_packets_ext -p tcp -m tcp --dport 21 -j ACCEPT
-A tcp_packets_ext -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_packets_ext -p tcp -m tcp --dport 80 -j ACCEPT
-A tcp_packets_ext -p tcp -m tcp --dport 1723 -j ACCEPT
-A tcp_packets_ext -p gre -j ACCEPT
-A tcp_packets_ext -p tcp -j DROP
-A tcp_packets_int -s 10.0.0.7/32 -p tcp -m multiport --dports 1:65535 -j ACCEPT
-A udp_packets_ext -p udp -m udp --dport 53 -j ACCEPT
-A udp_packets_ext -p udp -m udp --dport 33434 -j ACCEPT
-A udp_packets_ext -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets_ext -p udp -j DROP
-A udp_packets_int -s 10.0.0.7/32 -p udp -m multiport --dports 1:65535 -j ACCEPT
COMMIT
# Completed on Sun Nov  3 09:32:35 2013


[fisher74]

Код: [Выделить]

sudo iptables -A tcp_packets_int -s 10.0.0.0/24 -d 10.172.0.0/16 -p tcp -m multiport --dports 1:65535 -j ACCEPT
sudo iptables -A tcp_packets_int -s 10.0.0.0/24 -d 10.172.0.0/16  -p tcp -m multiport --dports 1:65535 -j ACCEPTКостыль, но работать будет. Сеть VPN подрихтуйте, если не попал.

[ArcFi]

Собрал в кучу всё, что надо было выложить с самого начала:

Схема сети:

(Нажмите, чтобы показать/скрыть)

Server

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:1a:92:95:fe:a0 brd ff:ff:ff:ff:ff:ff
    inet 82.x.x.x/30 brd 82.x.x.x scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:0e:2e:98:24:64 brd ff:ff:ff:ff:ff:ff
    inet 10.175.8.3/21 brd 10.175.15.255 scope global eth1
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 10.0.0.1 peer 10.0.0.7/32 scope global ppp0
default via 82.x.x.x dev eth0  metric 100
10.0.0.7 dev ppp0  proto kernel  scope link  src 10.0.0.1
10.175.8.0/21 dev eth1  proto kernel  scope link  src 10.175.8.3
82.x.x.x/30 dev eth0  proto kernel  scope link  src 82.x.x.x
172.16.0.0/16 via 10.175.8.254 dev eth1

Client Без интернета:

(Нажмите, чтобы показать/скрыть)

C:\>ipconfig /all & route print

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : xxx
        Основной DNS-суффикс  . . . . . . : yyy.com
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет
        Порядок просмотра суффиксов DNS . : yyy.com

OIT - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
        Физический адрес. . . . . . . . . : 14-DA-E9-4E-2C-7A
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 10.175.9.254
        Маска подсети . . . . . . . . . . : 255.255.248.0
        Основной шлюз . . . . . . . . . . : 10.175.8.254
        DNS-серверы . . . . . . . . . . . : 10.175.8.1
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.175.8.254    10.175.9.254       20
       10.175.8.0    255.255.248.0     10.175.9.254    10.175.9.254       20
     10.175.9.254  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255     10.175.9.254    10.175.9.254       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0     10.175.9.254    10.175.9.254       30
        224.0.0.0        240.0.0.0     10.175.9.254    10.175.9.254       20
  255.255.255.255  255.255.255.255     10.175.9.254    10.175.9.254       1
Основной шлюз:        10.175.8.254
===========================================================================
Постоянные маршруты:
  Отсутствует

Client С интернетом

(Нажмите, чтобы показать/скрыть)

C:\>ipconfig /all & route print

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : xxx
        Основной DNS-суффикс  . . . . . . : yyy.com
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет
        Порядок просмотра суффиксов DNS . : yyy.com

OIT - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
        Физический адрес. . . . . . . . . : 14-DA-E9-4E-2C-7A
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 10.175.9.254
        Маска подсети . . . . . . . . . . : 255.255.248.0
        Основной шлюз . . . . . . . . . . : 10.175.8.254
        DNS-серверы . . . . . . . . . . . : 10.175.8.1

Test - PPP адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Физический адрес. . . . . . . . . : 00-53-45-00-00-00
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 10.0.0.7
        Маска подсети . . . . . . . . . . : 255.255.255.255
        Основной шлюз . . . . . . . . . . : 10.0.0.7
        DNS-серверы . . . . . . . . . . . : 10.0.0.1
                                            10.0.0.1
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.0.7        10.0.0.7       1
          0.0.0.0          0.0.0.0     10.175.8.254    10.175.9.254       21
         10.0.0.7  255.255.255.255        127.0.0.1       127.0.0.1       50
       10.175.8.0    255.255.248.0     10.175.9.254    10.175.9.254       20
       10.175.8.3  255.255.255.255     10.175.9.254    10.175.9.254       20
     10.175.9.254  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255         10.0.0.7        10.0.0.7       50
   10.255.255.255  255.255.255.255     10.175.9.254    10.175.9.254       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0     10.175.9.254    10.175.9.254       30
        224.0.0.0        240.0.0.0     10.175.9.254    10.175.9.254       20
        224.0.0.0        240.0.0.0         10.0.0.7        10.0.0.7       1
  255.255.255.255  255.255.255.255         10.0.0.7        10.0.0.7       1
  255.255.255.255  255.255.255.255     10.175.9.254    10.175.9.254       1
Основной шлюз:            10.0.0.7
===========================================================================
Постоянные маршруты:
  Отсутствует

Я бы сделал так:
1) дефолтный шлюз на клиентах — 10.175.8.3
2) маршрут на 172.16.0.0/16 через 10.175.8.254 добавить либо на самих клиентах, либо на 10.175.8.3
3) сомнительная необходимость в VPN отпадает

[stempher]

Код: [Выделить]

sudo iptables -A tcp_packets_int -s 10.0.0.0/24 -d 172.16.0.0/16 -p tcp -m multiport --dports 1:65535 -j ACCEPT

не работает...

Я бы сделал так:
1) дефолтный шлюз на клиентах — 10.175.8.3
2) маршрут на 172.16.0.0/16 через 10.175.8.254 добавить либо на самих клиентах, либо на 10.175.8.3
3) сомнительная необходимость в VPN отпадает

Я так понимаю идеальный вариант совместить шлюз в "головняк" и сервер инета на один ПК и на нем уже маршрутизировать запросы в инет или головной офис. Так?

[koshev]

Не обязательно, хотя тоже вариант.

[ArcFi]

Я так понимаю идеальный вариант совместить шлюз в "головняк" и сервер инета на один ПК и на нем уже маршрутизировать запросы в инет или головной офис. Так?

Пожалуй, это можно считать следующим пунктом.

[fisher74]

не работает...

А, кстати, да. Работать не будет. Так как "головная" сеть знать не знает про Вашу VPN.
Поэтому либо постоянные маршруты на клиентах, как предлагает ArcFi, либо ещё один костыль к уже предложенным

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 172.16.0.0/16 -j SNAT --to-source 10.175.8.3Но сразу оговорюсь: все клиенты VPN будут выходить в головную сеть с адресом VPN-сервера.
То есть, как обычно - один костыль тащит за собой следующий.