Автор Тема: Проблема с IPTABLES (Прочитано 5620 раз)

kraft · « : 29 Июня 2010, 11:44 »

Здравствуйте.

У меня такая проблема. Есть два компа, один удалённый, другой тот за которым сижу я. Со своего компа на тот соединяюсь через openvpn. На моём компе винда XP, на том Debian Lenny 5.0.1. Задача того компа передавать новости, он подключён к некому провайдеру у которого есть такой внутренний ресурс как новости (news … nntp 119). Эти новости я буду получать через outlook_express. По vpn я с ним соединяюсь, всё хорошо всё нормально. У себя на компе я прописываю такой роут route add 85.28.195.135 (адрес сайта новостей) mask 255.255.255.255 10.10.8.5 (шлюз vpn) –p…….. вот так, всё прописывается всё замечательно, но как всегда не хрена не работает, захожу в outlook щёлкаю подписаться на группу новостей , идёт соединение… ну а потом «на запрос соединения с сервером новостей получен нераспознанный ответ». Скорее всего он как то не так лезет туда, или удалённый комп что то не туда отправляет. Дело в том что эти новости можно читать только если ты подключен к этому провайдеру. Так просто , не получится, как раз вот когда так просто пробуешь подключиться и получаешь такой ответ («на запрос соединения с сервером новостей получен нераспознанный ответ»). Загуглил и нарыл что трабол может быть с IPTABLES :cry: , но вот незадача, не что в нём понять не могу, как к нему подойти, где он вообще находится, как и куда пишутся эти его правила………

Единственное вот что нашёл, вот это…………..

Настройка маскированного шлюза openvpn debian iptables

# iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT (разрешаем VPNщикам обращаться в интернет)

# iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT (разрешаем интернету отдавать пакеты VPNщикам)

# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 123.123.123.123 (заменить на внешний ip, с этого ип пользователи будут ходить в интернет)

Так же не забываем включить forwarding (без него работать не будет):

в файле /etc/sysctl.conf раскомментируем строчку:

net.ipv4.conf.default.forwarding=1

И сообщим ядру о наших намерениях, чтобы лишний раз не перезагружаться:

# echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

…………….Но не могу понять какие адреса тут используются, если это то что надо подскажите как переделать на мой лад…….

А самое главное КУДААА это всё писать ……

Заранее благодарю…

Aleksandr · « **Ответ #1 :** 29 Июня 2010, 02:47 »

Сделай такой скрипт:

Код: [Выделить]

#!/bin/bash
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
iptables -I FORWARD -s X.X.X.X -d 85.28.195.135 -j ACCEPT
iptables -I FORWARD -d X.X.X.X -s 85.28.195.135 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s X.X.X.X -d 85.28.195.135 -j SNAT --to-source Y.Y.Y.Y

X.X.X.X - ip VPN интерфейса на машине с виндовс, я так понимаю что это 10.10.8.5
Y.Y.Y.Y - ip интерфейса которым Debian смотрит на сервер новостей, какой он у тебя не знаю, тк ты ничего об этом не написал, вывод команд

Код: [Выделить]

ip route show и

Код: [Выделить]

ifconfig могут тебе и нам это подсказать.
Доступ до машины надеюсь у тебя есть и как выполнять команды надеюсь тоже знаешь.

Если сделал:

Цитировать

в файле /etc/sysctl.conf раскомментируем строчку:
net.ipv4.conf.default.forwarding=1

и команда

Код: [Выделить]

cat /proc/sys/net/ipv4/conf/all/forwardingвыдает единицу, то
строку echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
можно не вписывать.

Обзываешь его например mynews кладешь в /usr/local/bin
Делаешь его исполняемым:

Код: [Выделить]

chmod +x /usr/local/bin/mynewsДля того, чтоб он запускался при старте системы в файл /etc/rc.local добавь такую строку:

Код: [Выделить]

/usr/local/bin/mynewsДелать все это нужно из под root-а

Что не получиться спрашивай.

kraft · « **Ответ #2 :** 30 Июня 2010, 01:49 »

Большое спасибо, вроде понял что да как.. Да соединение с машиной есть, я там ssh сделал. Просто самое главное чтобы ничего такого не случилось, ну .. что бы я эту машину не потерял…, а то всё крантец, она просто примерно за 8000 км от меня находится , я это всё запустил и свалил оттудова…. А адреса vpn на стороне винды это 10.10.8.6, (8.5 это шлюз vpn по умолчанию) а вот адрес в сторону новостей с debian-а… …эээ блин , что то я туплю если речь идёт о vpn адресе то это 10.10.8.1, а если о внешнем адресе …. Так я что то окончательно затупил, на модеме у меня pppoe , по dhcp автоматом присваивается на сетевую карту между компом и модемом 192.168.1.2, а если нужно указать внешний адрес .. ну это тоже можно у меня dyndns запущен .. указать тогда тот web адрес (это kraft.ath.cx) который мне постоянно пробивает ip адрес когда провайдер мне его меняет на модеме… ну там когда обрыв связи или .. хз ещё почему.. Завтра с утра попробую, а то что то уже поздно, да и пива много слишком… Ну насколько я понял мне походу и придётся указывать внешний свой адрес……

kraft · « **Ответ #3 :** 30 Июня 2010, 02:05 »

Да и ещё 1 в ipforwarding я прописал уже давно, это я точно помню… значит я просто создаю такой скрипт ……

iptables -I FORWARD -s 10.10.8.6 -d 85.28.195.135 -j ACCEPT

iptables -I FORWARD -d 10.10.8.6 -s 85.28.195.135 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.10.8.6 -d 85.28.195.135 -j SNAT --to-source kraft.ath.cx

делаю его исполняемым….. и прописываю в rc.local….., а ну строчку раскомментирую ещё….. вроде так я всё понял

Aleksandr · « **Ответ #4 :** 30 Июня 2010, 11:44 »

Я не знаю каке настроена сеть на твоем Дебиане, покажи хотя бы вывод команды:

Код: [Выделить]

ip route show
Как у тебя РРРоЕ настроен? если на модеме то пиши 192.168.1.2
если уверн, что DHCP на модеме будет всегда присваивать компу этот адрес.
или измени строку на:

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.10.8.6 -d 85.28.195.135 -o eth0 -j MASQUERADEесли eth0 - сетевуха смотрящая на модем (через нее идет дефолтный маршрут) что может тоже показать выше названная команда.
если РРРоЕ поднимаешь на компе, то измени строку на:

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.10.8.6 -d 85.28.195.135 -o ppp0 -j MASQUERADEЧтоб быть полностью уверенным покажи еще вывод

Код: [Выделить]

ifconfig и неплохо бы и

Код: [Выделить]

iptables-saveМожно в личку в Аську или Jabber.

Код: [Выделить]

iptables -I FORWARD -s 10.10.8.6 -d 85.28.195.135 -j ACCEPT
iptables -I FORWARD -d 10.10.8.6 -s 85.28.195.135 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.8.6 -d 85.28.195.135 -o eth0 -j MASQUERADE

Aleksandr · « **Ответ #5 :** 30 Июня 2010, 12:02 »

Цитировать

А адреса vpn на стороне винды это 10.10.8.6, (8.5 это шлюз vpn по умолчанию) ... vpn адресе то это 10.10.8.1

Что то много у тебя VPN адресов для точка-точка или там чтото другое?

kraft · « **Ответ #6 :** 30 Июня 2010, 06:41 »

Всё…)) сделал, огромное спасибо…

Вот так оно всё выглядело:

iptables -I FORWARD -s 10.10.8.6 -d 85.28.195.135 -j ACCEPT

iptables -I FORWARD -d 10.10.8.6 -s 85.28.195.135 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.10.8.6 -d 85.28.195.135 -j SNAT --to-source 192.168.1.2

+ ещё обязательно роут на виндовой машине: route add 85.28.195.135 mask 255.255.255.255 10.10.8.5 –p

Капец, 1400 новостей… ну это с начало года видимо….

Ещё раз спасибо.

Aleksandr · « **Ответ #7 :** 30 Июня 2010, 08:13 »

Цитата: "kraft"

+ ещё обязательно роут на виндовой машине: route add 85.28.195.135 mask 255.255.255.255 10.10.8.5 –p

Ну это само собой, а iptables очень хорошая штука, разберешься - поймешь.

sentinel@home

Новости:

Автор Тема: Проблема с IPTABLES (Прочитано 5620 раз)

kraft

Проблема с IPTABLES

Aleksandr

Re: Проблема с IPTABLES

kraft

Re: Проблема с IPTABLES

kraft

Re: Проблема с IPTABLES

Aleksandr

Re: Проблема с IPTABLES

Aleksandr

Re: Проблема с IPTABLES

kraft

Re: Проблема с IPTABLES

Aleksandr

Re: Проблема с IPTABLES