Автор Тема: проброс порта через vpn тоннель (Прочитано 1475 раз)

minitar · « : 15 Мая 2014, 10:08:11 »

спецы подскажите как через iptables реализовать данную схему:
client->linux(vpn)ext_ip1->win(rdp)ext_ip2
необходима защита и сокрытие от клиента ext_ip2

fisher74 · « **Ответ #1 :** 15 Мая 2014, 10:27:54 »

что подразумевается под сокрытием?

minitar · « **Ответ #2 :** 15 Мая 2014, 10:35:06 »

Цитата: fisher74 от 15 Мая 2014, 10:27:54

что подразумевается под сокрытием?

чтобы клиент подключался к rdp не зная его реального адреса.

fisher74 · « **Ответ #3 :** 15 Мая 2014, 12:02:52 »

Цитата: minitar от 15 Мая 2014, 10:35:06

чтобы клиент подключался к rdp не зная его реального адреса.

Думаете iptables-ом запретить открывать в Windowsх свойства сетевого соединения? Я Вас умоляю, усмирите немного параною.

Пробрасывается примерно так

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i ppp101 -p tcp --dport 1034 -j DNAT --to-destination 192.168.0.25:3389

minitar · « **Ответ #4 :** 15 Мая 2014, 12:23:05 »

Цитата: fisher74 от 15 Мая 2014, 12:02:52

Думаете iptables-ом запретить открывать в Windowsх свойства сетевого соединения? Я Вас умоляю, усмирите немного параною.

конечно же не iptables, а политиками самой win.

Цитата: fisher74 от 15 Мая 2014, 12:02:52

Пробрасывается примерно так
Код: [Выделить]
sudo iptables -t nat -A PREROUTING -i ppp101 -p tcp --dport 1034 -j DNAT --to-destination 192.168.0.25:3389

не работает, а какой адрес в данном случае пишет клиент в rdp, адрес интерфейса vpn тоннеля?

fisher74 · « **Ответ #5 :** 15 Мая 2014, 12:34:22 »

Цитата: minitar от 15 Мая 2014, 12:23:05

не работает

Цитата: fisher74 от 15 Мая 2014, 12:02:52

Пробрасывается примерно так

Как задали вопрос, так и ответил.

Цитата: minitar от 15 Мая 2014, 12:23:05

а какой адрес в данном случае пишет клиент в rdp, адрес интерфейса vpn тоннеля?

угу

minitar · « **Ответ #6 :** 15 Мая 2014, 16:35:55 »

спецы, подскажите почему не работает проброс?

Код: [Выделить]

#!/bin/sh
TUN_IFACE="tun0"
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i $TUN_IFACE -p tcp --dport 33389 -j DNAT --to-destination xx.xx.xx.xx:3389

fisher74 · « **Ответ #7 :** 15 Мая 2014, 16:48:59 »

[astral]потому что у комп xx.xx.xx.xx нет маршрута на сеть VPN[/astral]

minitar · « **Ответ #8 :** 15 Мая 2014, 17:24:51 »

Цитата: fisher74 от 15 Мая 2014, 16:48:59

[astral]потому что у комп xx.xx.xx.xx нет маршрута на сеть VPN[/astral]

на win прописал:
route -p add адрес-vpn-сети mask 255.255.255.255 внешний-адрес-vpn-компьютера
и все равно не пробрасывается rdp

fisher74 · « **Ответ #9 :** 15 Мая 2014, 18:22:06 »

Цитата: minitar от 15 Мая 2014, 17:24:51

route -p add адрес-vpn-сети mask 255.255.255.255 внешний-адрес-vpn-компьютера

Боюсь, что до "тройки" Ваши знания по теории построения сетей не дотягивают.

Поясню происходящее. Вы просите нас помочь сделать настройки, не показав (или хотя бы рассказав) структуру сети. Это реально сделать, но только методом научного тыка.

minitar · « **Ответ #10 :** 15 Мая 2014, 18:35:22 »

Цитата: fisher74 от 15 Мая 2014, 18:22:06

Цитата: minitar от 15 Мая 2014, 17:24:51
route -p add адрес-vpn-сети mask 255.255.255.255 внешний-адрес-vpn-компьютера
Поясню происходящее. Вы просите нас помочь сделать настройки, не показав (или хотя бы рассказав) структуру сети. Это реально сделать, но только методом научного тыка.

Так структура в самом верху. Два виртуальных сервера, один интерфейс, внешние адреса. Между собо не связаны. И есть клиент который подключается через openvpn. Нужно проскочитб далее по rdp.

fisher74 · « **Ответ #11 :** 15 Мая 2014, 19:49:53 »

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

minitar · « **Ответ #12 :** 16 Мая 2014, 00:24:24 »

Цитата: fisher74 от 15 Мая 2014, 19:49:53

Код: [Выделить]
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Огромное спасибо за помощь!
Заработало вот в таком варианте:

Код: [Выделить]

#!/bin/sh
iptables -F
iptables -t nat -F
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT --to-destination x.x.x.x:3389
iptables -A FORWARD -i tun0 --dst x.x.x.x -p tcp --destination-port 3389 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Можно ли здесь еще что-нибудь оптимизировать?

fisher74 · « **Ответ #13 :** 16 Мая 2014, 12:02:40 »

Цитата: minitar от 16 Мая 2014, 00:24:24

Можно ли здесь еще что-нибудь оптимизировать?

Можно. Оптимизинуйте.

(Нажмите, чтобы показать/скрыть)

Форум русскоязычного сообщества Ubuntu

Автор Тема: проброс порта через vpn тоннель (Прочитано 1475 раз)

minitar

проброс порта через vpn тоннель

fisher74

Re: проброс порта через vpn тоннель

minitar

Re: проброс порта через vpn тоннель

fisher74

Re: проброс порта через vpn тоннель

minitar

Re: проброс порта через vpn тоннель

fisher74

Re: проброс порта через vpn тоннель

minitar

Re: проброс порта через vpn тоннель

fisher74

Re: проброс порта через vpn тоннель

minitar

Re: проброс порта через vpn тоннель

fisher74

Re: проброс порта через vpn тоннель

minitar

Re: проброс порта через vpn тоннель

fisher74

Re: проброс порта через vpn тоннель

minitar

Re: проброс порта через vpn тоннель

fisher74

Re: проброс порта через vpn тоннель