iptables VPN+Битрикс

0

1

Здравствуйте. Может кто выручит... Не удаётся настроить iptables. Centos 6.6, виртуальная машина KVM. Установлено вэб-окружение Битрикс и OpenVPN. Битрикс пишет такой файл iptables:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -s *.*.*.*/32 -p tcp -m tcp -m comment --comment "Access to host from ***" -j ACCEPT
-A INPUT -s *.*.*.*/32 -p udp -m udp -m comment --comment "Access to host from ***" -j ACCEPT

-A INPUT -p tcp -m tcp --dport 8070 -m comment --comment "Access to manager of pool" -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8890 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8891 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8893 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8894 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5223 -j ACCEPT

-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited


COMMIT

Добавляю:

iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

и нифига VPN не соединяется. Отключаю iptables - нормально соединяется. Повытерал всё правила, оставил только маскарадинг - отлично работает... Подскажите, как правильно добавить правила для VPN? Всю голову уже поломал... Спасибо.

Ссылка

←	Webserver. CentOS. Nginx. Ссылка на favicon возвращает text content-type вместо графического

Много www-data в htop (DOS)

→

Надо больше золота. vpn кто клиент, сервер? как интерфейсы настроены и т.д. а то телепаты как обычно отсутствуют.

anc ★★★★★
(17.04.16 07:19:00 MSK)
Последнее исправление: anc 17.04.16 07:19:17 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 17.04.16 07:19:00 MSK

На виртуальной машине установлен OpenVPN сервер. На ней же три интерфейса сетевых: eth0 - локальный IP, eth1 - внешний IP. Ну и tun0 образовался после установки OpenVPN сервера.

VPN клиента тут нету никакого. Он на другом компутере установлен и работает хорошо. С другими VPN серверами работает. И с рассматриваемой виртуальной машиной тоже работает, если на ней iptables выключить.

Какие ещё детали нужны, мил человек? Их есть у меня. Нужен совет мне. Умаялся...

viktor-mo
(17.04.16 07:41:42 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 07:41:42 MSK

Т.е. клиент соединяется на eth1 я правильно понимаю ? Какой порт у впн сервера и какая сетка самого впн.
Далее вот эта фраза «и нифига VPN не соединяется» означает «не соединяется» или соединяется но что-то не работает? И что именно должно работать т.е. куда клиент впн должен после поднятия впн подключаться?

anc ★★★★★
(17.04.16 07:50:04 MSK)

Ответ на: комментарий от anc 17.04.16 07:50:04 MSK

Да. Клиент подключается к серверу по eth1. Порт 1194. Сеть: 10.8.0.0 255.255.255.0.

Именно что не соединяется клиент и впн сервер. Если iptables выключить - соединяется, но в интернет не идёт. Если маскарадинг прописать, а битриксовские правила вытереть - всё работает и в интернет клиент ходит...

Нужно чтобы клиент подключался к впн и далее мог ходить в интернет.

viktor-mo
(17.04.16 08:08:58 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 08:08:58 MSK

Вам нужно -A INPUT -p udp --dport 1194 -j ACCEPT
или заменить udp на tcp если впн использует tcp

anc ★★★★★
(17.04.16 08:11:56 MSK)
Последнее исправление: anc 17.04.16 08:12:45 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 17.04.16 08:11:56 MSK

Спасибо. Щас поковыряюсь. Да, используется udp.

viktor-mo
(17.04.16 08:15:50 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 08:15:50 MSK

А вот битриксовские правила для пртов имеют вид:

-A INPUT -p tcp -m tcp --dport 8891 -j ACCEPT

Синтаксис немного другой. Это важно?

viktor-mo
(17.04.16 08:27:36 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 08:27:36 MSK

Не, он такой же.

anc ★★★★★
(17.04.16 08:33:35 MSK)

Ответ на: комментарий от anc 17.04.16 08:33:35 MSK

Не работает. ((( Добавил -A INPUT -p udp --dport 1194 -j ACCEPT Всё равно даже не подключается.

viktor-mo
(17.04.16 08:41:52 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 08:41:52 MSK

Оно должно быть до "-A INPUT -j REJECT --reject-with icmp-host-prohibited"
Например можно сделать так -I INPUT -p udp --dport 1194 -j ACCEPT тогда оно будет первым

anc ★★★★★
(17.04.16 08:45:34 MSK)
Последнее исправление: anc 17.04.16 08:47:31 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 17.04.16 08:45:34 MSK

Оно после. Щас подредактирую.

И ещё деталь. Я выполняю команду в консоли:

iptables -A INPUT -p udp --dport 1194 -j ACCEPT

А в файле она сохраняется с добавлением -m udp в таком виде:

-A INPUT -p udp -m udp --dport 1194 -j ACCEPT

Так и должно быть?

viktor-mo
(17.04.16 08:51:25 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 08:51:25 MSK

А в файле она сохраняется с добавлением -m udp в таком виде:

Да все норм, для данного случая -p названия модуля -m можно не указывать.

anc ★★★★★
(17.04.16 08:58:12 MSK)
Последнее исправление: anc 17.04.16 08:59:30 MSK (всего исправлений: 2)

Ответ на: комментарий от anc 17.04.16 08:58:12 MSK

Вот щас запись про 1194 порт стала первой. И клиент подключается. Только в интернет не идёт. Доступен только сайт, который на этой же машине. Это форвард теперь нужно куда-то передвинуть? )))

viktor-mo
(17.04.16 09:02:49 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 09:02:49 MSK

Вам нужно что-то типа

-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT

и так же выше запрещающего правила

anc ★★★★★
(17.04.16 09:07:53 MSK)

Ответ на: комментарий от anc 17.04.16 09:07:53 MSK

Или ваши же правила передвинуть выше
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

anc ★★★★★
(17.04.16 09:09:25 MSK)

Ссылка

Ответ на: комментарий от anc 17.04.16 09:07:53 MSK

Блин! Работает, и в интернет идёт. Всё как нужно... Вот спасибо. Можно немного просуммировать? Значит достаточно этого:

iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT

viktor-mo
(17.04.16 09:22:01 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 09:22:01 MSK

Ясно. А выше передвинуть - это команды консоли -I?

viktor-mo
(17.04.16 09:23:16 MSK) автор топика

Ответ на: комментарий от viktor-mo 17.04.16 09:22:01 MSK

В вашем случае да :)

anc ★★★★★
(17.04.16 09:23:26 MSK)

Ответ на: комментарий от viktor-mo 17.04.16 09:23:16 MSK

-A chain - append правило добавляется в конец
-I chain [rulenum] - insert правило добавляется на место указанное в rulenum если не указано то добавляет в начало.

anc ★★★★★
(17.04.16 09:26:54 MSK)

Ссылка

Ответ на: комментарий от anc 17.04.16 09:23:26 MSK

Не. Ну я могу, конечно, и в файле попередвигать... Но мне нужно что бы работало. )))

Спасибо. Вы очень мне помогли.

viktor-mo
(17.04.16 09:27:34 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Webserver. CentOS. Nginx. Ссылка на favicon возвращает text content-type вместо графического

Admin

Много www-data в htop (DOS)

→

Похожие темы