LINUX.ORG.RU

1
Всего сообщений: 52

Iptables forwarding с eth0 port 111 на tun0 port 222

Вот правило пересылки пакетов от tun0 до eth0: /sbin/iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Не могли бы вы помочь, что мне нужно добавить к этому правилу для пересылки всех пакетов, например, из интерфейса eth0 порта 111 в интерфейс tun0 порт 222?

 , , ,

kumarradj ()

Forward DNS

Всем привет! Ситуация такая. Развернут dns - необходимо зону zone.local отправлять на обработку на сервер 192.168.1.1

в named.conf следующие параметры:

zone "zone.local" IN {
type forward;
forwarders { 192.168.1.1; }; 

nslookup не видит таким образом адрес:

nslookup server.zone.local
Server: 127.0.0.1
Address: 127.0.0.1#53

** server can't find server.zone.local: NXDOMAIN 

вот таким образом видит:

nslookup server.zone.local 192.168.1.1
Server: 192.168.1.1
Address: 192.168.1.1#53
 
Name: server.zone.local
Address: 192.168.1.30

С dns начал работать недавно. Подскажите, как быть?

 , , ,

Molodoy ()

Разрешить проходящий трафик одним правилом?

Доброго времени суток. Дропаете ли вы все пакеты в конце цепочки форвард? Если да, то как относитесь к подобным правилам?

-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j ACCEPT
Если способ написать то же самое в одну строчку?

 , , , ,

Rot1 ()

Iptables, DNAT с внешнего на внутренний адрес шлюза со сменой порта !

Есть тихая, спокойная локальная сеть 192.168.0.0/24, в качестве шлюза из дикого Интернета Linux с 2 статическими интерфейсами: lan 192.168.0.1 и wan, например, 98.98.98.98 На нем же стоит, настроен Iptables. Из сети / со шлюза Internet работает (ip forwarding конечно же включен) . Работает «через» SNAT:

iptables -t nat -A POSTROUTING -o wan -m iprange --src-range 192.168.0.2-192.168.0.254 -m policy --dir out --pol none -j SNAT --to-source 98.98.98.98

На шлюзе также стоит Ssh, который «висит» ТОЛЬКО на адресе 192.168.0.1, то есть строго «слушает» только интерфейс lan Возникла необходимость включить удаленный доступ через темный Internet к Ssh.

Делаю в Iptables DNAT:

iptables -t nat -A PREROUTING -i wan -m iprange ! --src-range 192.168.0.2-192.168.0.254 -d 192.168.0.1 -p tcp -m tcp --dport 22000 -m policy --dir in --pol none -j DNAT --to-destination 192.168.0.1:22

Так, как пакет предназначен шлюзу, не локальной сети, и с учетом DNAT на lan адрес шлюза, прописываем filter INPUT правило:

iptables -t filter -A INPUT -i lan -m iprange ! --src-range 192.168.0.2-192.168.0.254 -d 192.168.0.1 -p tcp -m tcp --dport 22 -m policy --dir in --pol none -j ACCEPT
И, так, как пакет предназначен шлюзу, не локальной сети, и с учетом DNAT на lan адрес шлюза, прописываем соответствующее filter OUTPUT правило:
iptables -t filter -A OUTPUT -o lan -s 192.168.0.1 -m iprange ! --dst-range 192.168.0.2-192.168.0.254 -p tcp -m tcp --sport 22 -m policy --dir out --pol none -j ACCEPT
Но в этом случае набор правил не работает. Если в указанных INPUT и OUTPUT правилах поменять интерфейсы с lan на wan, все заработает

Правильно ли понимаю, что при DNAT пакеты между интерфейсами НЕ «перекидываются» ? Только при FORWARD ?

То есть, хотя ssh «висит» только на lan, пакет, пришедший на wan, у которого по DNAT меняется адрес получателя на локальный адрес шлюза, этот пакет на lan НЕ пересылается, а отправляется «из» wan интерфейса на локальный процесс в виде ssh ? Или что-то делаю не так, и такой пакет ДОЛЖЕН переслаться на lan, из которого уже он отправляется на local process - ssh.

P. S.: Tcpdump видит на wan только пакеты на 20000 порт, на lan, от внешнего хоста, от которого идет соединение трафика нет. Хотя соединение проходит. При FORWARD, если DNAT «идет» в локальную сеть, трафик на lan виден.

 , , ,

Oooo800 ()

Помочь настроить раздачу прокси с сервера

Доброго времени суток! Есть софт от сайта с прокси 911.re , он работает, удается делать port-forwarding внутри локальной сети и уже подключаться к прокси как local_ip:port . Хотелось бы для универсальности сделать так, чтобы удавалось подключаться еще если софт стоит на сервере, то есть server_ip:port , в самом софте это вроде как даже задокументировано (можно добавлять айпи, с которого идет подключение в вайт-лист). На данный момент почему-то не удается настроить правильную работу, возможно сервер неправильно настроен и блокирует подключение. Доступ до rdp (или тимки) дам, буду постоянно обращаться к Вам, если справитесь

По цене - 1к думаю норм

Tg: sparrowyy , скайп: maksim96chic

 , ,

miracle777 ()

dns для web ubuntu server через mikrotik

Установил и настроил веб сервер на Raspberry Pi 3, Ubuntu Mate 16.04. По IP отлично все работает если в локальной сети компютеру подменить переадресацию на сервер по домену в /etc/hosts. Малинка внутри локальной сети со статическим IP 192.168.1.225, администрируется машрутизатором Mikrotik для выхода в интернет. И тут столкнулся с проблемой - в натройках домена нельзя в dns указывать статический внешний IP Mikrotik, нужен некий ns1.domain.com-net. Каким-то образом я завладел таковым на zoneedit.com, дождался пару часов активации. Ввожу в юрл мой ns1.domain.com-net и перенаправляет меня на админку микротика, что есть гуд. Но опять столкнулся в с проблемой, в Микротике можно пробросить порт по условию порта входящего, по условию IP входящего но не по условию домена входящего, и как же его теперь пробросить на IP моей малинки, которая уже заждлась? Ввиду такой проблемы, мне просто интересно, как происходит переадресация на Ubuntu Web Server, ведь наверняка он зачастую подключен так же через маршрутизатор, как у меня.

 , , , ,

abbat81 ()

Перенаправление трафика через 1 интерфейс

Дано: 3 ПК.

На 1м ПК стоит OVS , который работает как L2 коммутатор. К нему подсоединены еще 2 интерфейса через USB-Ethernet.

На этом ПК 1 сетевая карта внутренняя (она запрограммированна планировщиком TC QDISC) и 2 перемычки USB-Ethernet. Как сделать так , чтобы OVS бридж гонял трафик только через внутреннюю сетевую карту и применял ко всему трафику правила планировщика?

На данный момент планировщик срабатывает только на трафик который идёт на/из внутренней сетевой карты.

 ,

tampap ()

FreePBX 14 проблемы с переадресацией

Здравствуйте! Очень нужна помощь, сама с этим всем общаюсь недавно, опыта очень мало :(
Имеется развернутый FreePBX 14.0.3.2 (настройки все по умолчанию, конфигурационные файлы не изменены)
Проблема заключается в том, что при включенной переадресации (либо на телефонном аппарате, либо во freepbx follow me) звонки пришедшие из вне при неответе не переходят на мобильные номера.

При этом переадресация на мобильные прекрасно проходит если звонит внутренний на внутренний

Вот сам лог при попытке переадресовать: [2018-08-08 17:48:11] VERBOSE[25759][C-00000541] app_dial.c: Now forwarding SIP/наш транк-out-000007dc to 'Local/7921....@from-internal' (thanks to SIP/245-000007dd)
[2018-08-08 17:48:11] NOTICE[25759][C-00000541] app_dial.c: Not accepting call completion offers from call-forward recipient Local/7921.....@from-internal-0000005d;1
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [7921....@from-internal:1] Macro(«Local/7921....@from-internal-0000005d;2», «user-callerid,LIMIT,EXTERNAL,») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:1] Set(«Local/7921.....@from-internal-0000005d;2», «TOUCH_MONITOR=1533739691.2201») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:2] Set(«Local/7921.....@from-internal-0000005d;2», «AMPUSER=номер звонящего») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:3] GotoIf(«Local/7921......@from-internal-0000005d;2», «0?report») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:4] ExecIf(«Local/7921......@from-internal-0000005d;2», «0?Set(__REALCALLERIDNUM=номер звонящего)») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:5] Set(«Local/7921......@from-internal-0000005d;2», «AMPUSER=») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:6] GotoIf(«Local/7921......@from-internal-0000005d;2», «0?limit») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:7] Set(«Local/7921.....@from-internal-0000005d;2», «AMPUSERCIDNAME=») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:8] GotoIf(«Local/7921......@from-internal-0000005d;2», «1?report») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx_builtins.c: Goto (macro-user-callerid,s,15)
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:15] GotoIf(«Local/7921.....@from-internal-0000005d;2», «1?continue») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx_builtins.c: Goto (macro-user-callerid,s,29)
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:29] Set(«Local/7921.......@from-internal-0000005d;2», «CALLERID(number)=номер звонящего») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:30] Set(«Local/7921.......@from-internal-0000005d;2», «CALLERID(name)=номер звонящего») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:31] GotoIf(«Local/7921.....@from-internal-0000005d;2», «0?cnum») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:32] Set(«Local/7921.....@from-internal-0000005d;2», «CDR(cnam)=номер звонящего») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:33] Set(«Local/7921.....@from-internal-0000005d;2», «CDR(cnum)=номер звонящего») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-user-callerid:34] Set(«Local/7921.....@from-internal-0000005d;2», «CHANNEL(language)=ru») in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [7921.....@from-internal:2] NoCDR(«Local/7921.....@from-internal-0000005d;2», "") in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [7921.....@from-internal:3] Progress(«Local/7921.....@from-internal-0000005d;2», "") in new stack
[2018-08-08 17:48:11] VERBOSE[25854][C-00000541] pbx.c: Executing [7921.....@from-internal:4] Wait(«Local/7921.....@from-internal-0000005d;2», «1») in new stack
[2018-08-08 17:48:11] VERBOSE[25759][C-00000541] app_dial.c: Local/7921.....@from-internal-0000005d;1 is making progress passing it to SIP/наш транк-out-000007dc
[2018-08-08 17:48:12] VERBOSE[25854][C-00000541] pbx.c: Executing [7921......@from-internal:5] Playback(«Local/7921.....@from-internal-0000005d;2», «silence/1&cannot-complete-as-dialed&check-number-dial-again,noanswer») in new stack
[2018-08-08 17:48:12] VERBOSE[25854][C-00000541] file.c: <Local/7921......@from-internal-0000005d;2> Playing 'silence/1.ulaw' (language 'ru')
[2018-08-08 17:48:13] VERBOSE[25854][C-00000541] file.c: <Local/7921......@from-internal-0000005d;2> Playing 'cannot-complete-as-dialed.ulaw' (language 'ru')
[2018-08-08 17:48:15] VERBOSE[25854][C-00000541] file.c: <Local/7921.....@from-internal-0000005d;2> Playing 'check-number-dial-again.ulaw' (language 'ru')
[2018-08-08 17:48:18] VERBOSE[25854][C-00000541] pbx.c: Executing [7921......@from-internal:6] Wait(«Local/7921,.....@from-internal-0000005d;2», «1») in new stack
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx.c: Executing [792.......@from-internal:7] Congestion(«Local/7921......@from-internal-0000005d;2», «20») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] app_dial.c: Local/7921......@from-internal-0000005d;1 is circuit-busy
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] app_dial.c: Everyone is busy/congested at this time (1:0/1/0)
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-dial-one:53] ExecIf(«SIP/наш транк-out-000007dc», «0?MacroExit()») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-dial-one:54] ExecIf(«SIP/наш транк-out-000007dc», «0?Set(DIALSTATUS=)») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Execut ing [s@macro-dial-one:55] GosubIf(«SIP/наш транк-out-000007dc», «0?s-CONGESTION,1()») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-dial-one:56] MacroExit(«SIP/наш транк-out-000007dc», "") in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-exten-vm:21] Set(«SIP/наш транк-out-000007dc», «SV_DIALSTATUS=CONGESTION») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-exten-vm:22] GosubIf(«SIP/наш транк-out-000007dc», «0?docfu,1()») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-exten-vm:23] GosubIf(«SIP/наш транк-out-000007dc», «0?docfb,1()») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-exten-vm:24] Set(«SIP/наш транк-out-000007dc», «DIALSTATUS=CONGESTION») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-exten-vm:25] ExecIf(«SIP/наш транк-out-000007dc», «0?MacroExit()») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-exten-vm:26] GotoIf(«SIP/наш транк-out-000007dc», «1?s-CONGESTION,1») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx_builtins.c: Goto (macro-exten-vm,s-CONGESTION,1)
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s-CONGESTION@macro-exten-vm:1] GotoIf(«SIP/наш транк-out-000007dc», «0?exit,1») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s-CONGESTION@macro-exten-vm:2] PlayTones(«SIP/наш транк-out-000007dc», «congestion») in new stack
[2018-08-08 17:48:19] VERBOSE[25759][C-00000541] pbx.c: Executing [s-CONGESTION@macro-exten-vm:3] Congestion(«SIP/наш транк-out-000007dc», «10») in new stack
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx.c: Spawn extension (from-internal, 7921......, 7) exited non-zero on 'Local/7921.....@from-internal-0000005d;2'
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx.c: Executing [h@from-internal:1] Macro(«Local/7921.....@from-internal-0000005d;2», «hangupcall») in new stack
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-hangupcall:1] GotoIf(«Local/7921......@from-internal-0000005d;2», «1?theend») in new stack
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx_builtins.c: Goto (macro-hangupcall,s,3)
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-hangupcall:3] ExecIf(«Local/7921......@from-internal-0000005d;2», «0?Set(CDR(recordingfile)=)») in new stack
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-hangupcall:4] NoOp(«Local/7921......@from-internal-0000005d;2», " monior file= ") in new stack
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-hangupcall:5] AGI(«Local/7921......@from-internal-0000005d;2», «attendedtransfer-rec-restart.php,,») in new stack
[2018-08-08 17:48:19] VERBOSE[25854][C-00000541] res_agi.c: Launched AGI Script /var/lib/asterisk/agi-bin/attendedtransfer-rec-restart.php
[2018-08-08 17:48:20] VERBOSE[25854][C-00000541] res_agi.c: <Local/7921.....@from-internal-0000005d;2>AGI Script attendedtransfer-rec-restart.php completed, returning 0
[2018-08-08 17:48:20] VERBOSE[25854][C-00000541] pbx.c: Executing [s@macro-hangupcall:6] Hangup(«Local/7921......@from-internal-0000005d;2», "") in new stack
[2018-08-08 17:48:20] VERBOSE[25854][C-00000541] app_macro.c: Spawn extension (macro-hangupcall, s, 6) exited non-zero on 'Local/7921......@from-internal-0000005d;2' in macro 'hangupcall'
[2018-08-08 17:48:20] VERBOSE[25854][C-00000541] pbx.c: Spawn extension (from-internal, h, 1) exited non-zero on 'Local/7921......@from-internal-0000005d;2'
[2018-08-08 17:48:23] VERBOSE[25759][C-00000541] app_macro.c: Spawn extension (macro-exten-vm, s-CONGESTION, 3) exited non-zero on 'SIP/наш транк-out-000007dc' in macro 'exten-vm'
[2018-08-08 17:48:23] VERBOSE[25759][C-00000541] pbx.c: Spawn extension (ext-local, 245, 2) exited non-zero on 'SIP/наш транк-out-000007dc'
[2018-08-08 17:48:23] VERBOSE[25759][C-00000541] pbx.c: Executing [h@ext-local:1] Macro(«SIP/наш транк-out-000007dc», «hangupcall,») in new stack
[2018-08-08 17:48:23] VERBOSE[25759][C-00000541] pbx.c: Executing [s@macro-hangupcall:1] GotoIf(«SIP/наш транк-out-000007dc», «1?theend») in new stack
[2018-08-08 17:48:23] VERBOSE[25759][C-00000541] pbx_builtins.c: Goto (macro-hangupcall,s,3)

 , ,

LadyDark ()

Desktop --> Virtual Box --> IPFire&Co (Webinterface)

Добрый день форумчане у меня имеется вопрос по сетям.

Значит задача стоит следущая: На Винде 10 установлен Виртуал Бокс с сетью дмц и все пироги. Как ыиртуальный рутер дан IPFire. Мне нужно с моего Компьютера (не виртуальной мвшины) просто через бравзер зайти на Вебоболочку рутера. на данный момент интерфейс WAN на рутере установлен как мост с динамическим айпи.

Задача номер два: Сейчас я этот внешний ван могу нормально пинговать. Надо научиться блокировке этого пинга. (Опять же речь о пинге из вне),

Буду если не решению, то описаня этого процесса умными словами. А то я даже затрудняюсь составить запрос в гугел на эту тему....

 , ,

Lomalko ()

Маршрутизация пакета с адресом назначения 127,0,0,1

Доброго времени суток!

Есть сервер. На сервер, через интерфейс wlp4s0 приходит пакет с адресом назначения 127,0,0,1 и отсеивается... те не маршрутизируется.

Вот таблицы:

/proc/net_> ip route show table all
default via 192.168.1.1 dev wlp4s0  proto static  metric 600 
192.168.1.0/24 dev wlp4s0  proto kernel  scope link  src 192.168.1.108  metric 600 
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
broadcast 192.168.1.0 dev wlp4s0  table local  proto kernel  scope link  src 192.168.1.108 
local 192.168.1.108 dev wlp4s0  table local  scope host 
broadcast 192.168.1.255 dev wlp4s0  table local  proto kernel  scope link  src 192.168.1.108 

/proc/net_> ip rule list
0:      from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default 

При этом ip_forwarding включен.

Что ему мешает быть переадресованым на loopback правилом «local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 »?

 , ,

cyber_eagle ()

Перенаправление всех пакетов на адрес, исключая подсеть

Добрый день. Нужно перенаправить все входящие пакеты на определенный адрес (в впн тоннель). Технически, это правило

iptables -t nat -A PREROUTING -p tcp -j DNAT --to-destination 10.8.0.2

как раз и перенаправляет всё, но есть проблема: даже то, что приходит из самого тоннеля оно заворачивает обратно. Таким образом не получается даже подключиться по ssh изнутри.
И вторая, но почти идентичная проблема - так же надо перенаправить весь UDP траффик, и если использовать

iptables -t nat -A PREROUTING -p udp -j DNAT --to-destination 10.8.0.2

то не выходит подключиться самим впн-клиентом. По идее, можно создавать по отдельному правилу на каждый порт, они они динамически меняются, а прописывать по 2 правила на каждый порт вплоть до 64000 - не очень хочется...

 ,

Nightfall ()

Проброс порта средствами iptables

Всем привет! Есть две машины, они в одной сети, но внешний айпишник у каждой свой. Нужен доступ на LDAP сервер в интернете. Доступ открыт для одной машины, для второй он закрыт по политическим соображениям и открыть его не получится совсем никак, теоретичсеки это возможно, но займёт месяцы. Хочется сделать так, чтобы «опальная» машина ходила на LDAP через «доверенную», я пытался сделать это через iptables, но что-то лыжи не едут, чую решение близко, но не могу понять, в чём проблема. Прошу, подскажите через что это можно отлаживать и куда смотреть, вот конфиги iptables:

«Опальная» тачка:

*nat
:PREROUTING ACCEPT [20698:1163869]
:INPUT ACCEPT [20698:1163869]
:OUTPUT ACCEPT [117602:8159043]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 636 -j DNAT --to-destination 10.10.1.60:3129 # айпишник и порт во внутренней сети тачки, которая может ходить на LDAP
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Wed Dec 27 05:04:24 2017
# Generated by iptables-save v1.4.21 on Wed Dec 27 05:04:24 2017
*filter
:INPUT ACCEPT [4910881:2348670156]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4606321:1053292797]

Тачка с доступом:

# Generated by iptables-save v1.4.21 on Wed Dec 27 05:06:07 2017
*filter
:INPUT ACCEPT [1848883:2858948538]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1376882:209851073]
-A FORWARD -d 33.33.33.33/32 -p tcp -m tcp --dport 636 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # все тройки-это айпи LDAP-сервера
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
COMMIT
# Completed on Wed Dec 27 05:06:07 2017
# Generated by iptables-save v1.4.21 on Wed Dec 27 05:06:07 2017
*mangle
:PREROUTING ACCEPT [1898581:2970875815]
:INPUT ACCEPT [1898512:2970871791]
:FORWARD ACCEPT [69:4024]
:OUTPUT ACCEPT [1419363:235583969]
:POSTROUTING ACCEPT [1419375:235583037]
COMMIT
# Completed on Wed Dec 27 05:06:07 2017
# Generated by iptables-save v1.4.21 on Wed Dec 27 05:06:07 2017
*nat
:PREROUTING ACCEPT [2930:161987]
:INPUT ACCEPT [2930:161987]
:OUTPUT ACCEPT [31563:2667593]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3129 -j DNAT --to-destination 33.33.33.33:636
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 33.33.33.33/32 -p tcp -m tcp -j SNAT --to-source 10.10.1.59 # внутренний айпи опальной тачки
COMMIT

 , ,

Pyzia ()

openwrt: forward from pptp to lan

Доброго дня! Сразу к делу. Есть роутер с openwrt на борту. Поднят pptp клиент. За роутером машина, к которой нужно получить доступ. Объясняю конкретнее=). Я c pptp сервера обращаюсь на клиента (openwrt) на порт 8000, например и должен попасть на 8000 порт машины, находящейся в ЛС роутера. Все это дело пытаюсь организовать через iptables на openwrt соответственно. Вот правила:

iptables -t nat -I PREROUTING -d ip_vpnclient -p tcp --dport 8000 -j DNAT --to-destination ip_localpc:8000
#или
iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 8000 -j DNAT --to-destination ip_localpc:8000
#и в обратную сторону
iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE
Правила добавляются - эффекта ноль. Попробовал с wan на lan аналогичниый проброс сделать - работает. Правила проверенные. В чем косяк? Есть у openwrt особенности работы с iptables? Пакеты через opkg все что мог для iptables поставил. Спасибо!

 , , ,

kerby ()

Завернуть трафик по UDP-порту через отдельную сеть незаметно для программ

Господа, пардон, не знаю даже какие доки курить и в какую сторону, новые для меня дебри. Предполагаю, что iptabels и nat нужен мне. Ситуация...

Сейча есть две машины, работают в одной подсети 10.a.b.* через свитч, на каждой машине по программе. Программы общаются исключительно по UDP, через несколько портов, все просто:

 _____________                                  _____________ 
|   Машина 1  |                                |   Машина 2  |
| программа 1 |                                | программа 2 |
|             |                                |             |
| IP 10.a.b.c |eth0                        eth0| IP 10.a.b.d |
|все UDP порты|<-----> тупо через свитч <----->|все UDP порты|
|в т.ч.на 8000|                                |в т.ч.на 8000|

Но тут встала задача. Нужно мне определенные особенные пакеты, которые уходят с Машины 1 на порт 8000 Машины 2 не слать напрямую, а перенаправлять на некий девайс с IP 172.16.k.m. (он подключен на eth1 Машины 1). Далее эти пакеты будут девайсом шифроваться, идти по каналу (даже я не знаю, что за канал физически), на другом конце расшифровываться другим девайсом таким же и попадать на Машину 2 уже с IP 172.16.x.y второго девайса (порты девайсы сохраняют сами при передаче):

 _____________                                  _____________ 
|   Машина 1  |                                |   Машина 2  |
| программа 1 |                                | программа 2 |
|             |                                |             |
| IP 10.a.b.c |eth0                        eth0| IP 10.a.b.d |
|все UDP порты|<-----> тупо через свитч <----->|все UDP порты|
|             |                                |             |
|             |                                |             |
|IP 172.16.k.l|eth1__________ ?? __________eth1|IP 172.16.x.z|
| пакеты на   |-->|девайс IP:|->|девайс IP:|-->| пакеты на   |
|UDP-порт 8000|   |172.16.k.m|  |172.16.x.y|   |UDP-порт 8000|

Сделать все необходимо без модификации программ, бубном Линуксоадмина. Т.е. на Машине 1 мне нужно правило, по которому UDP-пакеты, улетающие наружу к 10.a.b.d:8000 должны перенаправляться на 172.16.k.m:8000. На второй Машине пакеты, которые пришли от 172.16.x.y на локальный адрес 172.16.x.z:8000 должны модифицироваться так, как будто они пришли напрямую с первой Машины через обычный свитч на локальный адрес 10.a.b.d:8000.

 , ,

Tayler ()

NixOS. Не работает SNAT.

Имеется 2 конфигурации: на Аrchlinux и на NixOS.
Обе конфигурации выступают в роли VPN сервера с WireGuard.
Суть в том, что при подключении клиентов к Archlinux серверу, клиенты могут пропинговать любой IPv6 в интернете.
К примеру гугловский IPv6.
Но если подключаться к NixOS серверу, то ICMP Request уходит с клиента через сервер на удаленный IPv6 адрес (гугловский к примеру) и возвращает ICMP Reply, который приходит на enp0s3 интерфейс сервера (который смотрит в интернет) и все.
Дальше enp0s3 интерфейса пакет не уходит, хотя должен уходить на интерфейс wg0, через который клиенты с сервером обмениваются шифрованными пакетами.
Т.е. tshark -i wg0 показывает только ICMP Request пакеты. ICMP Reply почему-то просто не попадают в wg0.
Хотя выхлоп ip a, ip -6 route, route -6, nft list ruleset идентичен.
Возможно это что-то NixOS-специфичное, поэтому вопрос - в какую сторону копать и на что обратить внимание.
Может какие-нибудь опции в ядре NixOS-а не включены?
https://git.archlinux.org/svntogit/packages.git/tree/trunk/config.x86_64?h=pa... - опции ядра Archlinux.
https://github.com/NixOS/nixpkgs/blob/master/pkgs/os-specific/linux/kernel/co... - опции ядра NixOS.
Заранее спасибо.

 , , , ,

Sorcus ()

Стек, форвардинг

Добрый день!

Подскажите как можно оценить время, затрачиваемое хостом (сконфигурированного в режиме роутера) на обработку пакета, при пересылке с одного интерфейса на другой.

 

spybond08 ()

LXC и net.ipv4_forward

Добрый день!
Подскажите, позможно ли настроить форвардинг внутри контейнера, чтоб не делать этого на хосте??

При создание файлов (в контейнере) в папке /proc/sys/net/ipv4/ ругается, что недостаточно прав.

Умеет ли LXC так делать??

 , ,

telepuz ()

call forwarding на skype

Есть симка с локальным номером, можно ли каким то образом перенаправлять звонки на этот мобильный номер на скайп? Какие есть варианты? Даже если нужна какая-то железка, API или что-то еще. Чтобы когда я уезжал за границу и покупал местную интернет симку – звонящие на мой местный номер редиректились на скайп. Исходящие не очень волнуют, но обратные звонки тоже неплохо.

 , , ,

preepunk ()

link layer

Нужно переправлять все принимаемые ethernet фреймы с одного интерфейса на другой интерфейс? Как это сделать без бриджа? Бридж не подходит, т.к. один из инетрфейсов беспроводной и не поддерживает бриджинг

 ,

urquan ()

Перенаправление трафика по конкретному адресу через второй роутер 4g

Есть некоторая проблема непонятных сетевых здержек, скажем, до адреса ipN у одного провайдера. Т.к. я не админ и звонки провайдеру закончились «у нас все работает», то решено попробовать пустить трафик по другому каналу/провайдеру. Как это делают крутые пацаны я не знаю и не умею, но есть стойкое желание сделать.

Из того, что имеется:

  • есть основной роутер mikrotik с RouterOS на борту, который раздает сеть првайдера1 и организует локальную сеть по шнурам и воздуху
  • есть вторичный роутер Yota, который по 4g раздает сеть, так же по проводам и ивоздуху

Необходимо трафик со всех узлов локальной сети через основной роутер до адреса ipN пускать через вторичный роутер, который, видимо, по проводу подключается к главному =).

Помогите настроить такую цепочку. Первичные попытки и гугл особо не помог, ибо нет понимания.

 ,

second_buddha ()