LINUX.ORG.RU
ФорумAdmin

Вопрос по iptables + openvpn сервер


0

1

Здравсвуйте. Проблема в следующем хотелось бы что бы вы посмотрели мои правила и попинали что не так и дали по шее что бы я исправил по правильному))) ну в общем заценили и сказали экспертное мнение))) а проблему опишу далее...

eth0 - инет 192.168.100.245 eth1 - локалка 192.168.1.99 tap0 - vpn интерфейс 10.10.10.1

-A POSTROUTING -o eth0 -j MASQUERADE

-A POSTROUTING -s 10.10.10.101 -o eth1 -d 192.168.1.0/24 -j MASQUERADE

-A POSTROUTING -s 10.10.10.102 -o eth1 -d 192.168.1.0/24 -j MASQUERADE

-A POSTROUTING -s 10.10.10.103 -o eth1 -d 192.168.1.0/24 -j MASQUERADE

-A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 192.168.100.245

-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 65432 -j DNAT --to-destination 192.168.1.27:65432

-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 65432 -j SNAT --to-source 192.168.100.245:65432

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9095 -j DNAT --to-destination 192.168.1.27:9095

-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 9095 -j SNAT --to-source 192.168.100.245:9095

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9091 -j DNAT --to-destination 192.168.1.33:9091

-A POSTROUTING -p tcp -m tcp -s 192.168.1.33 --sport 9091 -j SNAT --to-source 192.168.1.33:9091

-A FORWARD -o tap0 -s 10.10.10.0/24 -i eth0 -d 10.10.10.0/24 -j ACCEPT

-A INPUT -i tap0 -j ACCEPT

-A OUTPUT -o tap0 -j ACCEPT

-A INPUT -i eth1 -j ACCEPT

-A INPUT -i eth0 -d 10.10.10.0/24 -j ACCEPT

-A INPUT -s 10.10.10.0/24 -i eth1 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT ! -i eth0 -m state --state NEW -j ACCEPT

-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -i eth0 -o eth1 -j ACCEPT

-A FORWARD -i eth0 -o tap0 -j ACCEPT

-A FORWARD -i tap0 -o eth0 -j ACCEPT

-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -i tap0 -j ACCEPT

-A FORWARD -s 192.168.1.0/24 -j ACCEPT

-A FORWARD -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT

Так вот....все мои задуманные цели работают как нужно НО....я хотел бы что бы из сети 10.10.10.0/24 я мог видеть по имени любую машину в сети 192.168.1.0/24..... по IP пингуются вроде бы как бы все))) а вот по имени как осуществить?



Последнее исправление: qunn (всего исправлений: 1)

По «имени» это по DNS?

Для работы DNS должен быть доступен 53 udp\tcp порт к DNS-серверу Больше iptables влиять на работу DNS не может.

Tok ★★
()
Ответ на: комментарий от Tok

Может там не dns, и он хитрожопые броадкасты хочет пускать по туннелям? Надо уточнить

xtraeft ★★☆☆
()

да я ничего сверхестественного нехочу пускать....по тунелям сервера обмениваются через 65432 порт данными со службами....а сеть доступна по IP .... я хочу для администрирования....мне проще обратиться по имени к компьютеру чем по IP ибо настроен DHCP...

Тоесть цель законектится по vpn к серверу основному из дома например и что бы я имел доступ ко всем машинам по сети, по любым другим программам удаленного администрирования...по IP адресам все работает на ура...все админится но по имени недоступно....вот в этом вся проблема что бы я не обращался к машине 192.168.1.33 а хочу обратиться через FIRST-SERVER например....ну как видите по iptables у меня почти ничего не запрещено...так что по умолчанию насколько я понимаю все порты открыты тем более замаскарадил интерфейсы...DNS сервер поднят на этом же серваке...внутри сети 192.168.1.0/24 все работает а из сети 10.10.10.0/24 неработает по именам(((

qunn
() автор топика

да фиг знает лоал)))))))

Вот тебе мнение эксперта в ответ на безграмотность и отсутствие форматирования.

tazhate ★★★★★
()

Ну насчет отсутствия форматирования, извините))) а насчет безграмотности, хоть не ЗаБоРчИком пишу и то ладно)))

Торопился писал просто....

Будут у кого идеи? Пробовал экспериментировать - ноль. Все так же по имени между двумя сетями не видно ни кого.

qunn
() автор топика

Вот те раз...еще выявил такую проблему, что сам сервер не пингует кроме себя ни кого по именам. Но компьютеры в локалке видят друг друга без проблем. Очень надеюсь на помощь.

qunn
() автор топика

В общем выяснил я почему не пингует..... стоит bind + dhcp

дело в том что dhcp не передает dns'у списки клиентов с именами....теперь пока что немогу настроить это...буду так же рад помощи или ссылке на нормальный мануал...

P.S. При добавлении в файл Hosts имени компьютера и его Ip адреса, по имени начинает находить машинку...

qunn
() автор топика
Ответ на: комментарий от tazhate

Закрыть 53 порт (DNS) полностью я конечно же не мог — у меня много клиентов которым он нужен. Я решил фильтровать пакеты по содержимому DNS-запросов и убирать те из них, которые содержат запросы атакующих, а они все как один содержали в себе «NS». Для этой задачи подходит модуль iptables string, который как раз позволяет заглянуть в содержимое пакетов.

Признаюсь, я не знал.
Но гугл помог.
http://www.rtfm.4hack.com/articles.php?id1=16&id2=2

dada ★★★★★
()

Так кто нибудь подскажет как мануал или как настроить связку dhcp + dns bind ?)))

гуглю гуглю....но нигде нет развернутых инструкций....а то я плохо понимаю как настроить....

qunn
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin