Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: noip2+vpn(pptp) проброс ssh во внутреннию сеть  (Прочитано 809 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Sharabdin

  • Автор темы
  • Участник
  • *
  • Сообщений: 247
    • Просмотр профиля
сервер на нем стоит noip2 через динамический vpn как пробросить во внутрению сеть порт  22?

10.5.111.4 компьютер во внутренней сети на который нужно пробросить 22 порт(ssh)

пробрасываю так:

sudo iptables -A FORWARD -i ppp0 -p tcp --dport 22 -j ACCEPT
sudo iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to 10.5.111.4:22

нечего не происходит в чем может быть дело?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: noip2+vpn(pptp) проброс ssh во внутреннию сеть
« Ответ #1 : 06 Июнь 2013, 18:42:10 »
показывайте все правила
sudo iptables-save

Внешний адрес белый?
У 10.5.111.4 выход в интернет есть?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Sharabdin

  • Автор темы
  • Участник
  • *
  • Сообщений: 247
    • Просмотр профиля
Re: noip2+vpn(pptp) проброс ssh во внутреннию сеть
« Ответ #2 : 07 Июнь 2013, 10:18:56 »
показывайте все правила
sudo iptables-save

Внешний адрес белый?
У 10.5.111.4 выход в интернет есть?

внешний адрес белый динамический выдаваемый провайдером ,у 10.5.111.4 доступ есть по нату выдаваемый через этот же сервер.
вот вывод iptables-save
Цитировать
# Generated by iptables-save v1.4.12 on Fri Jun  7 10:16:02 2013
*filter
:INPUT ACCEPT [916640:644677874]
:FORWARD ACCEPT [880177:627140552]
:OUTPUT ACCEPT [1010770:681647882]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Fri Jun  7 10:16:02 2013
# Generated by iptables-save v1.4.12 on Fri Jun  7 10:16:02 2013
*nat
:PREROUTING ACCEPT [16880:1200307]
:INPUT ACCEPT [2498:306867]
:OUTPUT ACCEPT [144:13822]
:POSTROUTING ACCEPT [147:14180]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.5.111.4:22
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.5.111.4:22
-A POSTROUTING -s 10.5.111.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.251.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.5.111.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.251.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.251.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun  7 10:16:02 2013

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: noip2+vpn(pptp) проброс ssh во внутреннию сеть
« Ответ #3 : 07 Июнь 2013, 11:02:44 »
Для начала, удалить дублирующиеся правила и добавить:
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: noip2+vpn(pptp) проброс ssh во внутреннию сеть
« Ответ #4 : 07 Июнь 2013, 15:12:52 »
внешний адрес белый динамический выдаваемый провайдером
М-м-м-м, изините за мою дотошность, но мы здесь уже сталкивались с брызгами слюней, что адрес "белый", а по факту серее не бывает. Просто выдаваемый провайдером адрес не аксиома "белого" адреса.
Так Вы точно уверены, что адрес белый? адрес на Wan_интерфейсе совпадает с адресом выдаваемым тем же 2ip.ru?

Для начала, удалить дублирующиеся правила
Плюсую

и добавить:
пока не мешает

Пользователь решил продолжить мысль 07 Июнь 2013, 15:14:57:
А ещё бы я правила
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
перебросил бы в предназначенную для этого таблицу mangle
« Последнее редактирование: 07 Июнь 2013, 15:14:57 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Sharabdin

  • Автор темы
  • Участник
  • *
  • Сообщений: 247
    • Просмотр профиля
Re: noip2+vpn(pptp) проброс ssh во внутреннию сеть
« Ответ #5 : 07 Июнь 2013, 21:42:19 »
 да даже пингуется noip с моим ip вс ок ,сейчас изменил задачку пытаюсь пробросить порт vnc , добавил патч мту в mangle но все равно результат тот-же ,вот исполняемый код ната впихнул в конец /etc/ppp/ip-up :

Цитировать
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.14.1
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.5.111.106
route add -net 172.0.0.0 netmask 255.255.255.0 gw 10.5.111.106 dev eth0
route add -net 10.10.0.0/16 gw 10.10.14.1 dev eth0:1
route add -net 172.0.0.0/8 gw 10.5.111.106 dev eth0

##############################################################################
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle

###############################################################################
iptables -t nat -A POSTROUTING -o ppp0 -s 172.16.251.0/24 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu
#############################################################################################
iptables -I FORWARD -p tcp -d 10.5.111.4 --dport 5900 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 5900 -j DNAT --to 10.5.111.4:5900
iptables -I FORWARD -p tcp -d 10.5.111.4 --dport 5800 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 5800 -j DNAT --to 10.5.111.4:5800
iptables -t nat -A POSTROUTING -o ppp0 -s 10.5.111.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s 10.5.110.171 -j MASQUERADE


sudo /usr/local/bin/noip2 -c /usr/local/etc/no-ip2.conf -M
вот iptables-save:
Цитировать
# Generated by iptables-save v1.4.12 on Fri Jun  7 21:58:45 2013
*filter
:INPUT ACCEPT [9418:657029]
:FORWARD ACCEPT [852:87017]
:OUTPUT ACCEPT [8838:1432780]
-A FORWARD -d 10.5.111.4/32 -p tcp -m tcp --dport 5800 -j ACCEPT
-A FORWARD -d 10.5.111.4/32 -p tcp -m tcp --dport 5900 -j ACCEPT
COMMIT
# Completed on Fri Jun  7 21:58:45 2013
# Generated by iptables-save v1.4.12 on Fri Jun  7 21:58:45 2013
*mangle
:PREROUTING ACCEPT [10441:755003]
:INPUT ACCEPT [9424:657261]
:FORWARD ACCEPT [862:87897]
:OUTPUT ACCEPT [8860:1435360]
:POSTROUTING ACCEPT [9740:1526455]
COMMIT
# Completed on Fri Jun  7 21:58:45 2013
# Generated by iptables-save v1.4.12 on Fri Jun  7 21:58:45 2013
*nat
:PREROUTING ACCEPT [397:30752]
:INPUT ACCEPT [176:15028]
:OUTPUT ACCEPT [2723:140751]
:POSTROUTING ACCEPT [2776:145633]
-A PREROUTING -p tcp -m tcp --dport 5800 -j DNAT --to-destination 10.5.111.4:5800
-A PREROUTING -p tcp -m tcp --dport 5900 -j DNAT --to-destination 10.5.111.4:5900
-A POSTROUTING -s 10.5.111.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.5.110.171/32 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun  7 21:58:45 2013

« Последнее редактирование: 07 Июнь 2013, 22:05:26 от Sharabdin »

 

Страница сгенерирована за 0.211 секунд. Запросов: 25.