Форум русскоязычного сообщества Ubuntu


Автор Тема: Прброс pptp со шлюза во внутрисеть  (Прочитано 4714 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн censor

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Дано:
Windows Server 2003 (vpn pptp) ip в локальной сети 192.168.0.1 (шлюз 192.168.0.2)
Ubuntu 12.04 (gateway, nat) ip локальный 192.168.0.2, внешний 87.224.199.10
Правила iptables
# Generated by iptables-save v1.4.12 on Sun May 20 21:33:45 2012
*nat
:PREROUTING ACCEPT [403609:41389178]
:INPUT ACCEPT [62434:7259726]
:OUTPUT ACCEPT [1640:118942]
:POSTROUTING ACCEPT [1972:169162]
-A PREROUTING -d 87.224.199.10/32 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.0.1:1723
-A POSTROUTING -s 192.168.0.0/16 -o eth3 -j SNAT --to-source 87.224.199.10 --persistent
COMMIT
# Completed on Sun May 20 21:33:45 2012
# Generated by iptables-save v1.4.12 on Sun May 20 21:33:45 2012
*filter
:INPUT ACCEPT [482183:41003637]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [126021:23076355]
-A INPUT -i eth3 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth3 -p tcp -m multiport ! --dports 22,80,1723 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth3 -j ACCEPT
-A FORWARD -i eth3 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth3 -o eth1 -p tcp -m tcp --dport 1723 -j ACCEPT
COMMIT
# Completed on Sun May 20 21:33:45 2012
чтобы проброс нормально заработал необходимо подгрузить модуль nf_nat_pptp
modprobe nf_nat_pptp
чтобы не трахаться каждый раз с ручной загрузкой модуля после рестарта:
echo "nf_nat_pptp" | tee -a /etc/modules
по зависимостям модуль nf_nat_pptp тянет за собой еще 3
nf_nat_proto_gre
nf_conntrack_pptp
nf_conntrack_proto_gre
если линуксовый сервер не является шлюзом для сервера, можно включить маскарадинг в сторону локалки
iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth1 -j SNAT --to-source 192.168.0.2 --persistent

 

Страница сгенерирована за 0.045 секунд. Запросов: 26.