Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: проброс порта через vpn тоннель  (Прочитано 530 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн minitar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
спецы подскажите как через iptables реализовать данную схему:
client->linux(vpn)ext_ip1->win(rdp)ext_ip2
необходима защита и сокрытие от клиента ext_ip2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #1 : 15 Май 2014, 10:27:54 »
что подразумевается под сокрытием?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн minitar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #2 : 15 Май 2014, 10:35:06 »
что подразумевается под сокрытием?
чтобы клиент подключался к rdp не зная его реального адреса.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #3 : 15 Май 2014, 12:02:52 »
чтобы клиент подключался к rdp не зная его реального адреса.
Думаете iptables-ом запретить открывать в виндах свойства сетевого соединения? Я Вас умоляю, усмирите немного параною.

Пробрасывается примерно так
sudo iptables -t nat -A PREROUTING -i ppp101 -p tcp --dport 1034 -j DNAT --to-destination 192.168.0.25:3389
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн minitar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #4 : 15 Май 2014, 12:23:05 »
Думаете iptables-ом запретить открывать в виндах свойства сетевого соединения? Я Вас умоляю, усмирите немного параною.
конечно же не iptables, а политиками самой win.
Пробрасывается примерно так
sudo iptables -t nat -A PREROUTING -i ppp101 -p tcp --dport 1034 -j DNAT --to-destination 192.168.0.25:3389
не работает, а какой адрес в данном случае пишет клиент в rdp, адрес интерфейса vpn тоннеля?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #5 : 15 Май 2014, 12:34:22 »
не работает
Пробрасывается примерно так
Как задали вопрос, так и ответил.

а какой адрес в данном случае пишет клиент в rdp, адрес интерфейса vpn тоннеля?
угу
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн minitar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #6 : 15 Май 2014, 16:35:55 »
спецы, подскажите почему не работает проброс?
#!/bin/sh
TUN_IFACE="tun0"
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i $TUN_IFACE -p tcp --dport 33389 -j DNAT --to-destination xx.xx.xx.xx:3389

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #7 : 15 Май 2014, 16:48:59 »
[astral]потому что у комп xx.xx.xx.xx нет маршрута на сеть VPN[/astral]
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн minitar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #8 : 15 Май 2014, 17:24:51 »
[astral]потому что у комп xx.xx.xx.xx нет маршрута на сеть VPN[/astral]
на win прописал:
route -p add адрес-vpn-сети mask 255.255.255.255 внешний-адрес-vpn-компьютера
и все равно не пробрасывается rdp

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #9 : 15 Май 2014, 18:22:06 »
route -p add адрес-vpn-сети mask 255.255.255.255 внешний-адрес-vpn-компьютера
Боюсь, что до "тройки" Ваши знания по теории построения сетей не дотягивают.

Поясню происходящее. Вы просите нас помочь сделать настройки, не показав (или хотя бы рассказав) структуру сети. Это реально сделать, но только методом научного тыка.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн minitar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #10 : 15 Май 2014, 18:35:22 »
route -p add адрес-vpn-сети mask 255.255.255.255 внешний-адрес-vpn-компьютера
Поясню происходящее. Вы просите нас помочь сделать настройки, не показав (или хотя бы рассказав) структуру сети. Это реально сделать, но только методом научного тыка.
Так структура в самом верху. Два виртуальных сервера, один интерфейс, внешние адреса. Между собо не связаны. И есть клиент который подключается через openvpn. Нужно проскочитб далее по rdp.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #11 : 15 Май 2014, 19:49:53 »
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн minitar

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #12 : 16 Май 2014, 00:24:24 »
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Огромное спасибо за помощь!
Заработало вот в таком варианте:
#!/bin/sh
iptables -F
iptables -t nat -F
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT --to-destination x.x.x.x:3389
iptables -A FORWARD -i tun0 --dst x.x.x.x -p tcp --destination-port 3389 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Можно ли здесь еще что-нибудь оптимизировать?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: проброс порта через vpn тоннель
« Ответ #13 : 16 Май 2014, 12:02:40 »
Можно ли здесь еще что-нибудь оптимизировать?
Можно. Оптимизинуйте.


(Нажмите, чтобы показать/скрыть)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.063 секунд. Запросов: 24.