Логин:   Пароль:   
   
 
X   Сообщение сайта
(Сообщение закроется через 2 секунды)
 
> Iptables проверти и помогите парой советов
Gastello
сообщение 13.12.2008, 9:44
Сообщение #1





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



  Народ дело вот в чем, тута я привел мои настройки iptables которые у меня на рабочем сервере. Проверте правильноли или нет у меня все сдесь написано. А второе у меня к вам  такой ворос, что нужно исправить и дописать чтобы на Apach огли ходить  только из нета, Что бы все трафик шел только через SQUID и ни какие умельци на работе не сидели на халяву, Что бы POP3 SMTP ходили из нета в сеть и обратно, тк SQUID не работает с этими протоколами, при данной настройке приходит почта но не уходит, а нужны они что бы работала корпаративная почта и снее уходила и приходила почта. Ичто нужно вписать чтобы при включенном форвардинге по OPENVpn (один сервер и несколько клиентов) пакеты ходили  межну сетями Сеть за сервером 192.168.1.0, сеть за клиентом 192.168.2.0. Опенвн раздает адреса клиентам 192.168.241.0.


Цитата
#!/bin/bash
IPT=/sbin/iptables
IPTR=/sbin/iptables-restore
IPTS=/sbin/iptables-save

reset()
{
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP

# STATE RULES ======
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# LOCALHOST ===========
$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -s 127.0.0.1 -j DROP
$IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT

# ICMP ENABLED =====
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP

# SSH enable =======
$IPT -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP
$IPT -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

$IPT -A INPUT -m multiport -p tcp --dports 80,993,8080,3128,25,110 -j ACCEPT
$IPT -A INPUT -p udp --dport 5000 -j ACCEPT



}

init()
{
echo -n "It firewall... "
reset

# SAVE rules in file ==
$IPTS -c > /etc/sysconfig/iptables
echo "Done"
}

case $1 in
reset) reset;;
init) init;;
*) echo "Usage: rc.fw reset|init"
esac
 
+Цитировать сообщение
Fandal
сообщение 13.12.2008, 11:39
Сообщение #2


Привыкающий


Группа: Пользователи
Сообщений: 105
Регистрация: 5.9.2008
Пользователь №: 45365
Спасибо сказали: 7 раз(а)



1 что бы не могли ходить пользователи из сети затыкай 80 порт на входящие с той сети что надо блокировать... тоесть блокируй инпут на 80 порт для внутреней сетки. ниже пример блокирования запросов на 80 порт с сети 192.168.1.0/24
Код
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j DROP

2 что бы пользователи могли отправлять открой на OUTPUT smtp порт, а то у тебя только на INPUT открыто
сделай подобную, как ниже процитировано, конструкцию на исходящий (OUTPUT) трафик
Код
$IPT -A INPUT -m multiport -p tcp --dports 80,993,8080,3128,25,110 -j ACCEPT

3 насчёт впна, скорее всего надо настроить впн сервер нормально, открыть порты впна, включить механизм отслеживания соединений на input, forward и output
Код
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

это пример на таблицу входящего, по образу сделай на остальные


--------------------
 
+Цитировать сообщение
GyRT
сообщение 13.12.2008, 13:37
Сообщение #3


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



PS от себя посоветую - настрой pptpd как впн сервер smile.gif

а не опенвпн, а то с опен у меня не получилось венду цеплять безклиента опен впн, а тут можно цепляться средствами венды

ps правила перенаправления на сквид -
Код
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -s 192.168.0.0/24 -j REDIRECT --to-ports 3128


PPS а чтоб считать траффик - используй биллинг, к примеру TraffPro

этот биллинг - фактически iptables с прикрученным MySQL =) Логи сквида тоже парсить умеет (сквид юзай как кэшер, тады траффик будешь экономить)


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
spy
сообщение 13.12.2008, 15:30
Сообщение #4


Психопат
Иконка группы

Группа: Модераторы
Сообщений: 4898
Регистрация: 27.8.2006
Пользователь №: 18505
Спасибо сказали: 264 раз(а)



Цитата(Fandal @ 13.12.2008, 12:40) *
1 что бы не могли ходить пользователи из сети затыкай 80 порт на входящие с той сети что надо блокировать... тоесть блокируй инпут на 80 порт для внутреней сетки. ниже пример блокирования запросов на 80 порт с сети 192.168.1.0/24
Код
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j DROP
У него policy DROP для INPUT.
 
+Цитировать сообщение
Fandal
сообщение 13.12.2008, 15:36
Сообщение #5


Привыкающий


Группа: Пользователи
Сообщений: 105
Регистрация: 5.9.2008
Пользователь №: 45365
Спасибо сказали: 7 раз(а)



Цитата(spу @ 13.12.2008, 15:31) *
У него policy DROP для INPUT.

зато у него открыт 80ый порт
Код
$IPT -A INPUT -m multiport -p tcp --dports [b]80[/b],993,8080,3128,25,110 -j ACCEPT


--------------------
 
+Цитировать сообщение
spy
сообщение 13.12.2008, 15:47
Сообщение #6


Психопат
Иконка группы

Группа: Модераторы
Сообщений: 4898
Регистрация: 27.8.2006
Пользователь №: 18505
Спасибо сказали: 264 раз(а)



Ну и убрать его из той строки, зачем индивидульно блочить в INPUT?
 
+Цитировать сообщение
GyRT
сообщение 13.12.2008, 16:00
Сообщение #7


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



PS скивдом трафф считать - изврат, ИМХО, хотя хттп трафф через него считаю smile.gif


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
Gastello
сообщение 13.12.2008, 19:05
Сообщение #8





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



Цитата(GyRT @ 13.12.2008, 13:38) *
PS от себя посоветую - настрой pptpd как впн сервер smile.gif

а не опенвпн, а то с опен у меня не получилось венду цеплять безклиента опен впн, а тут можно цепляться средствами венды

ps правила перенаправления на сквид -
Код
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -s 192.168.0.0/24 -j REDIRECT --to-ports 3128


PPS а чтоб считать траффик - используй биллинг, к примеру TraffPro

этот биллинг - фактически iptables с прикрученным MySQL =) Логи сквида тоже парсить умеет (сквид юзай как кэшер, тады траффик будешь экономить)


Просто уже опенвн отлажен на ура... Но столкнулся проблемами когда начал настраивать IPT, а на сквиде траф считаю с помошью lightsquid, это правило я ставил, но не не работает тогда апач чето ни кого не поскает на сайт, может чего не хватает в IPT либо в настройках апача.
 
+Цитировать сообщение
GyRT
сообщение 13.12.2008, 19:20
Сообщение #9


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



сквид должен быть прозрачным wink.gif

чтоб на него трафф правилом заворачивать smile.gif


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
Gastello
сообщение 13.12.2008, 19:31
Сообщение #10





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



Цитата(GyRT @ 13.12.2008, 19:21) *
сквид должен быть прозрачным wink.gifчтоб на него трафф правилом заворачивать smile.gif
Просто мой знакомый линуксоид сказал что прозрачный прокси не очень сильно экономит трафик и не всегда, правильно определяет правила, + я подобное читал в нескольких статьях...З.Ы. Если сие не так, то как в ип таблес можно прописать на прозрачность, и какой ключ на конфигурацю для сквида нуже, просто я при сборке не указывал вроде на прозрачность  dry.gifыыы а сквид я не проверял работает или нет проверил апачу и все...

Сообщение отредактировал Gastello - 13.12.2008, 19:32
 
+Цитировать сообщение
GyRT
сообщение 13.12.2008, 19:33
Сообщение #11


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



оно в конфига в одно слово делается.... Могу тебе свой конфиг с фирмы утянуть, если надо.
Код
http_port адрес_сервака_в_локалке:3128 transparent # заворачиваем сквид в локалку
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
acl all src 0.0.0.0/0.0.0.0
acl apache rep_header Server ^Apache
acl CONNECT method CONNECT
acl from_havp myport 3128
acl homenet src адреса_в_локалке/маска_сети # задаем локальную сеть
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl purge method PURGE
acl scan_http proto http
acl to_localhost dst 127.0.0.0/8
acl FTP proto FTP
acl SSL_ports  port 443 563
acl Safe_ports port 80
always_direct allow from_havp
broken_vary_encoding allow apache
cache_peer адрес_прокси_havp parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
cache_mem 64 MB #кол-во оперативной памяти, которое съест squid (если стоит 64 - съест 180мб) =)
maximum_object_size 8092 KB #максимальный размен кэшируемого файла
maximum_object_size_in_memory 512 KB #размер файла в оперативной памяти
cache_dir ufs /var/cache/squid 2048 16 256 #кэш на hdd
ipcache_size 1024 #кэшировать адреса
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_mgr rave@ci.net.ru
tcp_outgoing_address 213.79.105.18 #задаем внешний адрес (если есть)
coredump_dir /var/spool/squid #директория, в которую свалится дамп из памяти при ошибка
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
htcp_access allow homenet !Safe_ports # разрешаем тока http траффик
http_access allow from_havp
http_access allow homenet
http_access allow localhost
http_access allow manager localhost
http_access allow purge localhost
http_access deny all
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny purge
http_access deny !Safe_ports
icp_access allow homenet
icp_access deny all
never_direct allow all
never_direct allow scan_http
no_cache deny QUERY
refresh_pattern .               0       20%     4320
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
visible_hostname имя_хоста #прописывайте сюда нужное имя
check_hostnames off #проверять правильность доменных имен (по умолчанию да, но некоторрые днс используют неправильные имена, поэтому отключил)
allow_underscore on #разрешить подчеркивание в доменных именах
dns_nameservers адрес_днс #сквид тоже юзает днс, при этом не всегда те, которые надо :(


PS тока оно у меня с антивирусным прокси в связке. убери там про пэрент прокси строки


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
Gastello
сообщение 13.12.2008, 19:48
Сообщение #12





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



Кулл спаибо пару маментов мене очень даже пригодятьсыsmile.gif

Смотри я сквид конфигурировал с такими ключами, если я правильно понял мне его нужно будет пересобрать.
Воть..
Цитата
./configure /
--prefix=/usr/local/squid
--enable-delay-pools /
--enable-kill-parent-hack /
--enable-snmp /
--disable-http-violations /
--disable-ident-lookups /
--enable-truncate /
--enable-removal-policies="lru,heap" /
--enable-stacktraces /
--enable-useragent-log /
--enable-referer-log /
--enable-forward-log /
--enable-arp-acl /
--enable-storeio="aufs,diskd,null,ufs" /
--enable-htcp /
--enable-cachemgr-hostname=localhost /
--disable-carp /
--disable-wccp /
--disable-wccpv2 /
--enable-default-err-language=Russian-1251 /
--with-large-files /
--enable-large-cache-files /
--enable-follow-x-forwarded-for /
--enable-auth="basic,ntlm,digest" /
--enable-basic-auth-helpers="getpwnam,LDAP,NCSA,PAM,SMB,SASL" /
--enable-ntlm-auth-helpers="no_check,SMB" /
--enable-digest-auth-helpers="password, ldap" /
--enable-external-acl-helpers="ldap_group,unix_group,wbinfo_group"



Слушай какйо ключить надо добавить там их простоаж 3!! и все вроде как для прозрачность едро одно из последних ща точно не скажу.
 
+Цитировать сообщение
GyRT
сообщение 13.12.2008, 20:06
Сообщение #13


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



transparent - вот он отвечает за прозрачность. Я так понял у тебя гента или фря? smile.gif


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
Gastello
сообщение 13.12.2008, 20:31
Сообщение #14





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



Цитата(GyRT @ 13.12.2008, 20:07) *
transparent - вот он отвечает за прозрачность. Я так понял у тебя гента или фря? smile.gif

Не то и не то smile.gif но близко ) ASPLinux скажем так из коробчки!!!! так как там для проверяющих органов есть бумажка, тобиж лицензионное соглашение, на русском языке, что мол даная ОС ни вкоем разе не воровоная biggrin.gif girl_angel.gif smile.gif, а так болеше люблю и уважаю CentOS


Якой из них?
Цитата
--enable-ipf-transparent
--enable-pf-transparen
--enable-linux-netfilter


Сообщение отредактировал Gastello - 13.12.2008, 20:31
 
+Цитировать сообщение
GyRT
сообщение 13.12.2008, 21:12
Сообщение #15


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



+me думает smile.gif

мне кажется, что --enable-pf-transparen, ибо PF - это фаервалл (хотя хз, не занимаюсь сборкой) sad.gif

PS думаю, угадал флаг, ибо http://www.sys-adm.org.ua/system/rpm-build.php

--enable-ipf-transparent
Enable Transparent Proxy support for systems
using IP-Filter network address redirection.
--enable-pf-transparent
Enable Transparent Proxy support for systems
using PF network address redirection.
--enable-linux-netfilter
Enable Transparent Proxy support for Linux 2.4.

Вот, ща из сурцов вытянул.... У тя линукс, а PF - это бсд, наверное тебе всетаки последний флаг


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
Gastello
сообщение 13.12.2008, 21:20
Сообщение #16





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



Цитата(GyRT @ 13.12.2008, 21:13) *
+me думает smile.gif

мне кажется, что --enable-pf-transparen, ибо PF - это фаервалл (хотя хз, не занимаюсь сборкой) sad.gif

PS думаю, угадал флаг, ибо http://www.sys-adm.org.ua/system/rpm-build.php

--enable-ipf-transparent
Enable Transparent Proxy support for systems
using IP-Filter network address redirection.
--enable-pf-transparent
Enable Transparent Proxy support for systems
using PF network address redirection.
--enable-linux-netfilter
Enable Transparent Proxy support for Linux 2.4.

Вот, ща из сурцов вытянул.... У тя линукс, а PF - это бсд, наверное тебе всетаки последний флаг

г.ы. чет я сразу не подумал логично, smile.gif
А у тя на работе что?
 
+Цитировать сообщение
GyRT
сообщение 13.12.2008, 21:52
Сообщение #17


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



цетос 5.2, а дома пока убунту 8.04сервер с натянутыми иксами smile.gif Но думаю свалить на чистый дебиан


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
Gastello
сообщение 23.12.2008, 16:44
Сообщение #18





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



Вот собственная и снова я smile.gif Все настроил за исключенимем опенвпн получаеться фигня, тоесть все из сети 192.168.2.0/24 видят 192.168.1.0 но из 192.168.1.0 ни видит ни кто сеть 192.168.2.0 после отрубания IPT все работает вот собствена сам конфиг ипт.

Цитата
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP

# STATE RULES ======
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# LOCALHOST ===========
$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -s 127.0.0.1 -j DROP
$IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT

# ICMP ENABLED =====
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP

# SSH enable =======
$IPT -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP
$IPT -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

$IPT -A INPUT -m multiport -p tcp --dports 993,8080,80,3128,110,25 -j ACCEPT

#OPENVPN
$IPT -A INPUT -p udp --dport 5000 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 5000 -j ACCEPT
$IPT -A INPUT -i tap+ -j ACCEPT
$IPT -A FORWARD -i tap+ -j ACCEPT
$IPT -A FORWARD -o tun+ -j ACCEPT
$IPT -A OUTPUT -o tun+ -j ACCEPT

#$IPT -t nat -A POSTROUTING -s 192.168.241.0/24 -o eth0 -j MASQUERADE
#$IPT -t nat -A POSTROUTING -s 192.168.241.0/24 -o eth0 -j SNAT --to-source 192.168.1.15

$IPT -t nat -A POSTROUTING -o eth3 -j SNAT --to-source 80.250.231.101

#Mail
#$IPT -A FORWARD -i eth0 -s 192.168.1.0/24 -p tcp -m tcp -m multiport --dports 25,110 -j ACCEPT
#$IPT -A FORWARD -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
#$IPT -P FORWARD DROP

#Yandex mail
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 213.180.204.38 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 213.180.204.38 -d 192.168.1.0/24 --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 213.180.204.37 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 213.180.204.37 -d 192.168.1.0/24 --sport 110 -j ACCEPT

#Klient bank evrofinans
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 195.151.159.44 --dport 1024 -j ACCEPT
iptables -A FORWARD -p tcp -s 195.151.159.44 -d 192.168.1.0/24 --sport 1024 -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 --dport 1024 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 --dport 110 -j MASQUERADE


Люди объясните где я не прав, ответ нужен очень срочно!!!!!!!!

Ща залил этот конфиг на клиента опенвпн блин работает. Народ объямсните вчем может быть проблема

Еще поломав голову заметил следующее, что при данных настройках не пускает ни как с клиента ни с сервера, т.е.
пингуються tap0 в обоих направлениях. т.е. не видна сеть для клиентов сети 192.168.2.0 за сервером 192.168.1.0 так для клиентов 192.168.1.0 не видна сеть 192.168.2.0.

Что нужно дописать чтобы усе работало... при выключенном Айпитеблес все работает на ура
 
+Цитировать сообщение
GyRT
сообщение 23.12.2008, 19:40
Сообщение #19


Форуман


Группа: Пользователи
Сообщений: 4592
Регистрация: 23.11.2008
Из: Моск. Обл., г. Королев, район Болшево
Пользователь №: 51116
Спасибо сказали: 357 раз(а)



Гм... Опенвпн - попробуй PPTP - тады можно будет вендой к примеру без дополнительных прог соединяться smile.gif Ну это так, имхо

ЗЫ Впн-порты открыты?


--------------------
| Ник в DC++: St.Server or [CiNet]Gyrt | icq: 370984297 (антиспамбот OFF) | ники на форумах: GyRT or mariner |
Ресурсы: dchub://dc.klan-hub.ru - [K.lan]Hub

Цитата(о копирайтах)
>адоба правильносебя защищает, она создала технологию и имеет право ее защищать.
Я создал технологию, которая позволяет засунуть тебе в анус сучковатое полено. Я имею право ее защишать, то есть привязать тебя... Эй, эй, куда побежал?..
 
+Цитировать сообщение
Gastello
сообщение 23.12.2008, 20:44
Сообщение #20





Группа: Пользователи
Сообщений: 28
Регистрация: 14.5.2008
Пользователь №: 40222
Спасибо сказали: 0 раз(а)



Цитата(GyRT @ 23.12.2008, 19:41) *
Гм... Опенвпн - попробуй PPTP - тады можно будет вендой к примеру без дополнительных прог соединяться smile.gif Ну это так, имхо

ЗЫ Впн-порты открыты?

$IPT -A INPUT -p udp --dport 5000 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 5000 -j ACCEPT
$IPT -A INPUT -i tap+ -j ACCEPT
$IPT -A FORWARD -i tap+ -j ACCEPT
$IPT -A FORWARD -o tun+ -j ACCEPT
$IPT -A OUTPUT -o tun+ -j ACCEPT
pptp согласен просще, но у меня на опен впн 1 хороше сжатие трафа, и шифрование на хорошем скажем уровне.

Сообщение отредактировал Gastello - 23.12.2008, 20:46
 
+Цитировать сообщение

2 страниц V   1 2 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0



© 2005—2016 ООО «Нэт Бай Нэт Холдинг»,
Все права защищены.
Правила пользования ресурсами