LINUX.ORG.RU
решено ФорумAdmin

Настройка itables для доступа к Socks5 под VPN

 , ,


0

1

Привет всем, имею настроенный сервер с IPSec VPN (strongswan).

Настройки Iptables на сервере использованы следующие:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT

iptables -A INPUT -i venet0 -p esp -j ACCEPT

iptables -A INPUT -i venet0 -p udp --dport 500 -j ACCEPT

iptables -A INPUT -i venet0 -p tcp --dport 500 -j ACCEPT

iptables -A INPUT -i venet0 -p udp --dport 4500 -j ACCEPT

iptables -A INPUT -i venet0 -p udp --dport 1701 -j ACCEPT

iptables -A INPUT -i venet0 -p tcp --dport 1723 -j ACCEPT iptables -A FORWARD -j REJECT

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o venet0 -j MASQUERADE

Также имею поднятый socks5 демон danted со следующим конфигом:

logoutput: /var/log/socks.log #debug: 1 logoutput: stderr internal: 127.0.0.1 port = 5555 external: venet0:0

method: none

client pass { from: 0.0.0.0/0 port 1-65535 to: 0.0.0.0/0 } pass { from: 0.0.0.0/0 to: 0.0.0.0/0 protocol: tcp udp }

Очень хочу чтобы этот socks был доступен только из под VPN всем подсоединившимся клиентам т.к. иногда не хочу весь трафик гонять через VPN, поэтому socks буду юзать только там где он нужен т.е. VPN при этом не будет дефолтным шлюзом.

Проблема в том что в текущем виде это не работает. Не могу понять толи danted неправильно настроен, толи нет доступа до localhost сервера из за настрек iptables, а может и то и то.

Помогите плз кто может))

Ответ на: комментарий от anc

У клиентов я прописываю виртуальный адрес VPN сервера - 10.0.2.15. Но как я понял с этого адреса не добивает до 127.0.0.1 самого VPN сервера из-за iptables, которые я пока не умею настраивать.

Заканчивайте школу для начала.

Не стоит так агрессивно.

Unvilon ()
Ответ на: комментарий от Unvilon

Но как я понял с этого адреса не добивает до 127.0.0.1
из-за
Заканчивайте школу для начала

Как-то так.

anc ★★★★★ ()
Ответ на: комментарий от anc

Видимо или я действительно полный идиот и этого и правда не должно происходить, либо я неправильно объясняю что мне нужно, либо то что при настройке strongswan+iptables по большинству мануалов доступ есть только до других подключившихся клиентов, но не к самому серверу и как настроить этот доступ для меня не вполне очевидно без траты нескольких часов или даже суток на изучение матчасти.

Я как-то больше склоняюсь к третьему варианту, но в любом случае, конкретно в вашей anc помощи я больше не нуждаюсь.

Unvilon ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.