Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Казначейство и NAT  (Прочитано 2023 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Romanuga

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Казначейство и NAT
« : 09 Февраль 2010, 10:58:51 »
Доброго времени суток господа =)
У меня возникла некая проблема с настройкой iptables'а, помогите люди добрые или ткните носом куда следует )) прошу сильно ни пинать если что то не так =)

Есть на свете такая программа "Клиент Континент" для установки соединения с серверами Федерального Казначейства, она требует прямого соединения и не работает совсем с проксями (варианты в виде программ перенаправления трафика на прокси не принимаются, хочется всё по человечески сделать). Этому клиенту континенту нужны для работы два порта: TCP 4439 и UDP 4440, что и как по этим портам передаётся я не знать.
Раньше документы отправляли посредством аццки шипящего девайса, теперь объёмы работ увеличелись во много крат и диалапный мопед не подходит из за большой траты времени подключатся, отключатся. По этим причинам решено было рыгнуть мозгом и сделать правила иптаблеса, но что то не особо получается из за недопонимая.

Сетка у нас большая и выходит за пределы города до вышестощей организации, шлюзы, ДНСы всё поднято на виндуфсе, на сервере с проксёй две сетевые, одна до мопеда, вторая в нутро сети смотрит, и pppd конектится:

(Нажмите, чтобы показать/скрыть)

Адресация сети у мну 10.0.16.0/24, адрес выдаваемый провайдером динамический.

В конторе в инет все бегаем через Squid, ОС Ubuntu Server 9.10, на машине стоит ТОЛЬКО сквид и ничего больше, после прочтения мануалов, постов, вроде допёрло как сделать правило iptables'a

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 4439 -i ppp0 -j DNAT --to 10.0.16.34
$ sudo iptables -t nat -A PREROUTING -p udp --dport 4440 -i ppp0 -j DNAT --to 10.0.16.34

Программа запустилась, приконектилась и даже что то отправляли, НО:
1. почему то отваливается каждую минуту континент, и снова коннектится, чего ему нехватает даж не знаю...
2. программа работает только ТОГДА, когда в правилась сетевого подключения в качестве шлюза указываем 10.0.16.26 (тоесть адрес машины с проксёй) а не нормальный как должен быть 10.0.16.1

Как только не насиловал я правила, как только не извращался нид ними...что то не получается настроить НАТ для корректной и безпроблемной работы клиента континента...
Люди добрые, памажите пажалуйста, то савсем моск дурак не позволяет собственными сила исправить сию ситауцию.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #1 : 09 Февраль 2010, 12:38:04 »
Вместо прописи дефолтного шлюза добавь маршрут(ы) на IP банка через 10.0.16.26.
На 10.0.16.26 должна быть разрешена маршрутизация. В forward поставь default DROP и разреши только те два порта, плюс обратку.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Romanuga

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #2 : 09 Февраль 2010, 15:12:38 »
а не подскажите в какую сторону начать копать? не очень силён в напильниках линукса )))

Оффлайн bober_man

  • Любитель
  • *
  • Сообщений: 97
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #3 : 09 Февраль 2010, 19:05:58 »
Скопируй данные строки в /etc/iptables.up.rules предваритьльно сохрани старые., если вдруг там ещё чего есть.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#Тут разрешаем дынные порт для опред внутр IP
-A POSTROUTING -p tcp -s 10.10.1.10 --dport 4439 -j SNAT --to-source ВНЕШНИЙ_IP  --dst ! 10.10.1.0/255.255.255.0
-A POSTROUTING -p tcp -s 10.10.1.10 --dport 4440 -j SNAT --to-source ВНЕШНИЙ_IP  --dst ! 10.10.1.0/255.255.255.0
#Перенаправляем HTTP на Squid proxy
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128
#Перенаправляем FTP на Frox proxy ФТП прокси (если есть конечно)
-A PREROUTING -p tcp -m tcp -i eth0 --dport 21 -j REDIRECT --to-ports 2121
COMMIT
#Закрыть всё
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4439 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 4440 -j ACCEPT
COMMIT
#Completed

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #4 : 09 Февраль 2010, 21:08:53 »
Не будет работать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн bober_man

  • Любитель
  • *
  • Сообщений: 97
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #5 : 09 Февраль 2010, 22:17:13 »
точно. Не внимательно читал тему ))

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #6 : 09 Февраль 2010, 22:45:11 »
*filter
:FORWARD DROP [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.0.16.34 -p tcp -m tcp --dport 4439 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.0.16.34 -p udp -m udp --dport 4440 -m state --state NEW -j ACCEPT
COMMIT

Чет такое должно быть. IMHO. Если я правильно понимаю направление передачи данных. Если нет, то опишите задание нормальным языком.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Romanuga

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #7 : 26 Февраль 2010, 07:21:32 »
Пробовал писать маршруты на локальной машине где установлен "Клиент Континент", отваливается через каждую минуту, попробовал уже внаглую ввести iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE и выставил шлюзом машину с инетом работает на УРА...в чем дело ни пайму, изкавырял всё и вся, так и не доходит до меня как ещё можно сделать...

Оффлайн Ton

  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #8 : 26 Февраль 2010, 08:47:24 »
Если не ошибаюсь: как раз MASQUERADE и надо делать. IP адрес при коннекте динамический.

Оффлайн Romanuga

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #9 : 26 Февраль 2010, 11:24:21 »
Да, адрес динамический, я так понял что нужен DNAT, а то получается если сделать iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE большая дырка на проксе с беспроблемным доступом к нутру сети, не есть хорошо...
Кто могёт подскажите пажалуйста :)

Оффлайн nau..

  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #10 : 26 Февраль 2010, 13:00:26 »
на сколько знаю, настраивал в одной из контор, просто иметь связь через инет мало. перед запуском клиент континент запускается впн-коннект. затем только запускается континент. собсно само решение лежит в создании впн-коннекта на каждой машине которая использует континент.
только галочку снимите в св-вах впн, использовать шлюз в удаленной системе.

Гарри Кашпировский

  • Гость
Re: Казначейство и NAT
« Ответ #11 : 26 Февраль 2010, 14:03:05 »
Да, адрес динамический, я так понял что нужен DNAT, а то получается если сделать iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE большая дырка на проксе с беспроблемным доступом к нутру сети, не есть хорошо...
Кто могёт подскажите пажалуйста :)
Понятно что дырка.Тут чуть правила подправить треба.
-A POSTROUTING -s 10.0.16.0/24 ! -d 10.0.16.0/24 -o ppp0 -p tcp -m tcp --dport 4439 -j MASQUERADE
-A POSTROUTING -s 10.0.16.0/24 ! -d 10.0.16.0/24 -o ppp0 -p tcp -m tcp --dport 4440 -j MASQUERADE

Оффлайн Romanuga

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #12 : 04 Март 2010, 10:22:28 »
Что то не хатит:
sudo iptables -A POSTROUTING -s 10.0.16.0/24 ! -d 10.0.16.0/24 -o ppp0 -p tcp -m tcp --dport 4439 -j MASQUERADE
iptables: No chain/target/match by that name.

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Казначейство и NAT
« Ответ #13 : 04 Март 2010, 10:26:49 »
-t nat не хватает

Пользователь решил продолжить мысль 04 Март 2010, 10:30:46:
большая дырка на проксе с беспроблемным доступом к нутру сети, не есть хорошо...
большая дырка обычно у тех, кто не прописал правильно правила в таблицу FORWARD. AnrDaemon выше пример привёл, как надо делать.
« Последнее редактирование: 04 Март 2010, 10:30:46 от Mam(O)n »

 

Страница сгенерирована за 0.057 секунд. Запросов: 22.