Настройка iptables для ФПСУ-IP клиента

Д

Джон

New Member
Вот вариант настройки , может кому пригодится :

Секция *filter

выделение udp пакетов из входного потока :

-A INPUT -i eth1 -p udp -j udp_packets

разрешение (открытие) 87 порта :

-A udp_packets -p udp -m udp --dport 87 -j ACCEPT


Секция *nat (portmapping)

-A PREROUTING -s 192.168.0.4 -d 102.168.0.2 -p udp -m udp --dport 87 -j DNAT --to-destination xxx.xxx.xxx.xxx

-A POSTROUTING -d xxx.xxx.xxx.xxx -o eth1 -p udp -m udp --dport 87 -j SNAT --to-source yyy.yyy.yyy.yyy

где :

192.168.0.4 - рабочее место довольного бухгалтера
в настройках сетевой карты внутренний адрес прокси
должен быть прописан как шлюз

192.168.0.2 - внутренний адрес прокси

eth1 - идентификатор сетевой карты прокси , смотрящей в Интернет

xxx.xxx.xxx.xxx IP адрес ФПСУ сервера

yyy.yyy.yyy.yyy внешний фиксированный IP адрес прокси.

squid тут вообще не причем, это кэширующий HTTP прокси.

И еще одно практическое наблюдение - если на одной машине установлены 2 и более клиентов с одинаковыми хостами (типа счета в одном отделении), то все клиенты успешно ходят через одно (от любого установочного комплекта) VPN соединение.
 
<r>Если у вас все так работает, то это хорошо. У некоторых может и не работать, так как требуются правила FORWARD.
Так же задачку можно решить чуть проще:
<QUOTE><s>
</s>
Секция *filter
выделение udp пакетов из входного потока :
-A INPUT -i eth1 -p udp -j udp_packets
разрешение (открытие) 87 порта :
-A udp_packets -p udp -m udp --dport 87 -j ACCEPT
<e>
Нажмите для раскрытия...
</e></QUOTE>
Еще добавить правила FORWARD
-A FORWARD -i eth0 -o eth1 -p udp -m upd --sport 87 --dport 87 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m upd --sport 87 --dport 87 -j ACCEPT
можно не фиксировать порт отправки (т.е. порт клиента), тогда правила FORWARD будут выглядеть так
-A FORWARD -i eth0 -o eth1 -p udp -m upd --dport 87 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m upd --sport 87 -j ACCEPT

<QUOTE><s>
</s>
Секция *nat (portmapping)
-A PREROUTING -s 192.168.0.4 -d 192.168.0.2 -p udp -m udp --dport 87 -j DNAT --to-destination xxx.xxx.xxx.xxx
-A POSTROUTING -d xxx.xxx.xxx.xxx -o eth1 -p udp -m udp --dport 87 -j SNAT --to-source yyy.yyy.yyy.yyy
<e>
Нажмите для раскрытия...
</e></QUOTE>
ждесь не нужно двух правил(так как на два ваших правила требуется 4-ре правила FORWARD), достаточно одного
-A POSTROUTING -s ip_адрес_клиента_или_локальная_подсеть -o eth1 -p udp -m udp --dport 87 -j SNAT --to-source внешний_ip_шлюза_или_прокси

и все прекрасно работает.
примечание:
eth1 - внешний интерфейс на серваке
eth0 - внутренний интерфейс на серваке</r>
 
У нас стоит сервер с ПО FreebSD+IPFW+NAT+SQUID.
так вот тестовая программа не получает ответа т Вашего сервера.
вот в данную минут включил простой маршрутизатор(всё выпускает) но опять ответ получаю "Превышено время ожидания ответа".
пробовал дать правило по Nat - нет соединения.
пробовал дать правило Forward - нет соединения.
Подскажите....
 
вопчим если кому пригодиться про FreeBSD на пограничном маршрутизаторе:
1. делаем портфорвард через natd

su-2.05b# cat /etc/natd.conf
same_ports yes
use_sockets yes
redirect_port udp <ip буха>:87 87

в /etc/rc.conf соответсвенно
natd_enable="YES"
natd_interface="<внешний интерфейс>"
natd_flags="-config /etc/natd.conf"

2. разрешаем пакетики на фаере (ipfw)
вот сами првила в упрощенном виде
ipfw add <номер после divert> allow udp from any to any 87 via <внешний интерфейс>
ipfw add <номер после divert> allow udp from any 87 to any via <внешний интерфейс>

3. вот и всё.

замечание: по хорошему надо в правилах ipшки расставить как сервера так и клиента. Их можно взять из предыдущего поста.
 
<r><QUOTE author="aleksdj"><s>
aleksdj написал(а):
</s>вопчим если кому пригодиться про FreeBSD на пограничном маршрутизаторе:
1. делаем портфорвард через natd

su-2.05b# cat /etc/natd.conf
same_ports yes
use_sockets yes
redirect_port udp <ip буха>:87 87

в /etc/rc.conf соответсвенно
natd_enable="YES"
natd_interface="<внешний интерфейс>"
natd_flags="-config /etc/natd.conf"

2. разрешаем пакетики на фаере (ipfw)
вот сами првила в упрощенном виде
ipfw add <номер после divert> allow udp from any to any 87 via <внешний интерфейс>
ipfw add <номер после divert> allow udp from any 87 to any via <внешний интерфейс>

3. вот и всё.

замечание: по хорошему надо в правилах ipшки расставить как сервера так и клиента. Их можно взять из предыдущего поста.<e>
Нажмите для раскрытия...
</e></QUOTE>


а что такое <номер после divert></r>
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху