LINUX.ORG.RU
ФорумAdmin

iptables перенаправление с одного ip адреса на другой ip адрес

 , , ,


0

1

Добрый день. Прошу помощи в написании правила по iptables. Суть в чем. Развернут VPN на шлюзе (Debian), На Виндосе есть расшаренная папка с общими документами, AD не установлен, DNSа - нет. По VPN подключаются удаленные сотрудники. Есть пул ip-адресов для таких людей. Рассмотрим на примере: User1 подключился к локальной сети и получил адрес 192.168.1.20, адрес сервера с расшаренной папкой 192.168.1.101. В проводнике когда пользователь переходит по данному адресу, то попадает на свой домашний мобильный телефон, т.к. его домашняя локальная сеть имеет тоже 1-ю подсетку, а телефон подключен по wi-fi.

Вопрос собственно в чем, можно ли в iptables написать такое правило которое будет перенаправлять определенный Ip-адрес на ip-адрес сервера с расшаренной папкой? Что-то типа того: отправляю пакет на адрес 192.168.1.201, а попадаю на адрес 192.168.1.101.

Разрешаю изменить сеть 192.168.1.0 на другую. Это самое простое судя по вашему вопросу.
ЗЫ Мне нравятся такие вопросы. VPN - что такое VPN в вашем представлении ? Дальше мы еще знаем слово iptables - это вообще «волшебная палочка»... Но вот слово «роутинг» мы слышим первый раз.

anc ★★★★★
()

Поставь гуй к iptables и потыкай мышкой. fwbuilder например

anonymous
()

Если это OpenVPN (только с ним работал), то если даже нет пуша дефолтроута на сервер VPN клиентам, то всё равно с подключенного клиента можно достучаться минимум до сервера, а если с опцией client-to-client, то и до всех клиентов.

А если есть цель подключиться извне VPN к шлюзу, а затем к окнам с шарой, то есть DNAT в iptables.

FluffyPillow
()
Ответ на: комментарий от FluffyPillow

Еще один из разряда, «я вообще ничего не понимаю но вот когда нажимал красную кнопку меня било током, а вот если нажимал синюю не било, попробуйте коричневую»
Откуда вы только беретесь?... Понимаю что риторический вопрос.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от FluffyPillow

А что не так?

Вы уже повторяетесь таким ответом. А что «так» в вашем совете вообще может быть? Он пустой как вакуум.

anc ★★★★★
()
Ответ на: комментарий от FluffyPillow

1. Ответ лично вам? Да бесполезен. Исключительно злость на бессмысленные ответы. Ответ ТС не бесполезен, смени подсеть и будет счастье.
2. Специально для вас. Предположим что это не ipsec. Прежде чем давать советы, нарисуйте схемку роутинга хотя для себя. А потом подумайте при совпадении/пересечении сетей в каком случае пакеты будут адресованы локальным ресурсам а в каком пойдут в тунель. (упоминания вида client-to-client применительно только к ovpn вообще не в тему)

anc ★★★★★
()

Надо конкретней. Трафик куда приходит и кто default gateway? Где будешь прописывать правила? На 1.201?

Ну и можно погуглить:

- ip forwarding iptables

- cifs ports

Но, если я правильно понял и если обращаешься к шаре по IP, то тебе нужно перенаравлять трафик только по 445 порту. А так, еще лучше по 137-139.

https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP

zuxla
()

Рассмотрим на примере: User1 подключился к локальной сети и получил адрес 192.168.1.20

Это он к какой сети подключился: домашней или vpn?

Что-то типа того: отправляю пакет на адрес 192.168.1.201, а попадаю на адрес 192.168.1.101.

Так можно сделать но это будет антинаучно не правильно.

Самое простое это сказать юзверям что у них не должен быть занят адрес сервера... Это с учётом что роутинги настроены верно. Иначе переводите свой сервер в другую подсеть и дальше танцуйте с роутингами

jo_b1ack ★★★★★
()

Очень сумбурно написано. Опиши подробней и лаконичней.

rumgot ★★★★★
()

Вообще как уже советовали выше, правильней сдедать так, чтобы подсеть за впн-сервером и подсеть дома (к которой подключен компьютер-впн-клиент и телефон по wifi) имели бы разные ip адреса. Так будет надежней и лучше. Но если костылить, то тут я бы попробовал править таблицу мсршрутизации на твоем компьютере-клиенте: нужен маршрут по котрому к хосту 192.168.1.101 шел через впн-сервер. Но опять-таки это не культурно и криво.

rumgot ★★★★★
()
Ответ на: комментарий от rumgot

Удивительно, что с ЛОР происходит? Первое правильное направление.

Но если костылить, то тут я бы попробовал править таблицу мсршрутизации на твоем компьютере-клиенте: нужен маршрут по котрому к хосту 192.168.1.101 шел через впн-сервер. Но опять-таки это не культурно и криво.

Это не настолько большой костыль как может показаться. Если клиент админ он и сам накостыляет что-то. Другой вопрос, возможно ли передать множественный роутинг при использовании конкретной реализации впн. Т.е. не парить мозг клиенту, подключил (хоть с мобилки, хоть с любимой десктопной ос), работает.
1. Но мы не знаем реализации у ТС. А он молчит как партизан.
2. И у ТС «волшебное» 192.168.1 - спрашивается какого использовать её для впн сети когда и так известно что каждый домашний недороутер эту подсеть использует?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Anc, не понтуйся. Я помню, мы с тобой уже спорили про openvpn. И из того спора было видно, что твои знания не превосходят мои. И да, тут хватает пустозвонов, но и компетентные спецы тоже есть.

rumgot ★★★★★
()

Маски подсетей не указаны в исходных данных. Это важно.

Infra_HDC ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.