Webmin - IPtables presmerovanie portu na VPN klienta

Síťování, konfigurace síťových pravidel, bezpečnost, omezováni a filtrování provozu, konfigurace firewalů, regulace šířky pásma, stumbler a síťové nástroje obecně
Odpovědět
Uživatelský avatar
back
Level 3
Příspěvky: 66
Registrován: 07 dub 2008, 17:07
Bydliště: Sered

09 lis 2009, 14:57

Zdravím potreboval by som poradiť pri presmerovani portu (iptables) situacia je nasledovne znazornená na zjednodusenej schéme viz obrázok
img687.imageshack.us/img687/4815/finalvpn2.jpg
Mám vServer ktorý má verejnú IP adresu (povedzme že) eth0: 78.24.78.24, ďalej na vServere mi beži VPNserver z rozhraním tun0:10.0.2.1

Na VPNserver sa pripajajú VPN Clienti z domácej LAN siete (všeobecne je to fuk odkial sa priájaju) za Firewall/routerom ktorý oddeľuje LAN od ISP.

VPN Client1 má tun0: 10.0.2.6 rozhranie pre pripojenie k VPNserveru a eth0: 192.168.1.2 pre LAN
VPN Client2 má tun0: 10.0.2.10 rozhranie pre pripojenie k VPNserveru a eth0: 192.168.1.10 pre LAN

VPN Client2 beží ako server a teda poskytuje "nejakú" službu pre priklad Webmin - beží v tomto prípade na TCP porte 10010. Z lokálnej LAN siete 192.168.1.0/24 je tato služba dostupná na 192.168.1.10:10010. Z VPN siete ju napr VPN Client1 10.0.2.6 ma taktiež dostupnú na 10.0.2.10:10010

Ja by som chcel ale dosiahnúť aby bola služba Webmin (TCP port 10010) dostupná pre ktoréhokoľvek uživatela z internetu. Teda ak sa napr. pripojím na internet z Antarktidy a zadam do prehliadaču http:78.24.78.24:10010 bude mi prostrednictvom vServeru a jeho VPN sietu naviazané spojenie (teda presmerovanie portu) na službu Webmin, službu bežiacu na VPN Client2-ovi.

Pokúšal som sa o to pomocou nasledujúceho pravidla na vServere
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10010 -j DNAT --to 10.0.2.10:10010
Pri tomto som síce dostal polovičného úspechu a to je, že packety sú preposielane z Internetu na VPN Client2 ale on na ne neodpovedá -> analyzované tcpdump-om a v /proc/sys/net/ipv4/ip_forward mam 1.

Vedel by mi niekto poradiť aké pravidlá zvoliť pomocou iptables? Je treba ešte zvlášt nakonfigurovať v VPN Client2-u, alebo je to vec čisto vServeru a jeho IPTABLES?
Naposledy upravil(a) back dne 09 lis 2009, 15:15, celkem upraveno 1 x.

Uživatelský avatar
develo
Level 0
Příspěvky: 5
Registrován: 10 úno 2010, 17:04

10 úno 2010, 17:20

Potrebujete jeste pomoc?

Uživatelský avatar
android
Level 7
Příspěvky: 461
Registrován: 10 říj 2008, 22:48

10 úno 2010, 23:56

dobrá rada se hodí pořád :)

Uživatelský avatar
back
Level 3
Příspěvky: 66
Registrován: 07 dub 2008, 17:07
Bydliště: Sered

11 úno 2010, 12:39

Ďakujem za reakciu. Ano chcel by som vediet, ako by to bolo možné dosiahnúť. V tejto chvili sice nemam nakonfigurovane VPN, ale to nieje problém pretože je to pre mna stále aktuálne. Takže ak viete, kde začat uvítam to.

Uživatelský avatar
develo
Level 0
Příspěvky: 5
Registrován: 10 úno 2010, 17:04

11 úno 2010, 12:40

Problém může být v tom, že může být otevřeno více portů, některé protokoly, jako například FTP, totiž při navazování spojení otevírají další pomocné porty.(Nové porty jsou nad 1024) Řešením je ip_conntrack_ftp(propouštění sousisejících spojení)
Musíte zavést modul jádra:

Kód: Vybrat vše

$ modprobe ip_contrack_ftp
A zavést nové pravidlo

Kód: Vybrat vše

$ iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Tím tedy určíme, že všechny pakety, které procházejí naším firewallem a jsou označeny jako související, budou automaticky propuštěny.

Maškarádu asi zapnutou máte :)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10010 -j DNAT --to 10.0.2.10:10010 - ještě bych do toho napsal -d ipvserveru a to dát před --dport

Kód: Vybrat vše

iptables -t nat -A PREROUTING -i eth0 -p tcp -d ipvserveru --dport 10010 -j DNAT --to 10.0.2.10:10010
Naposledy upravil(a) develo dne 09 bře 2010, 18:01, celkem upraveno 1 x.

Odpovědět
  • Informace
  • Kdo je online

    Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host