Перейти к содержанию
    

Помощь с iptables

У меня есть Linux машина с настроенным VPN. Я хочу её использовать как gateway для всех моих домашних компьютеров. Но я что-то запутался как мне это сделать.

192.168.5.123 - локальный адрес сервера

Конфигурация iptables:

-P INPUT ACCEPT -c 0 0
-P FORWARD ACCEPT -c 0 0
-P OUTPUT ACCEPT -c 0 0
-N ciscovpn
-A INPUT -c 35 7953 -j ciscovpn
-A INPUT -m state --state RELATED,ESTABLISHED -c 980 167799 -j ACCEPT
-A INPUT -p icmp -c 0 0 -j ACCEPT
-A INPUT -i lo -c 43 1858 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -c 3 200 -j ACCEPT
-A INPUT -c 468 44895 -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -c 0 0 -j ciscovpn
-A FORWARD -c 0 0 -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -c 37 8240 -j ciscovpn
-A ciscovpn -m state --state RELATED,ESTABLISHED -c 67 15625 -j ACCEPT
-A ciscovpn -o lo+ -c 0 0 -j ACCEPT
-A ciscovpn -i lo+ -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 68 --dport 67 -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 67 --dport 68 -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 546 --dport 547 -c 0 0 -j ACCEPT
-A ciscovpn -p udp -m udp --sport 547 --dport 546 -c 0 0 -j ACCEPT
-A ciscovpn -s 192.168.5.123/32 -d vpn.vpn.vpn.vpn/32 -o eth3 -p tcp -m tcp --dport 443 -c 0 0 -j ACCEPT
-A ciscovpn -s vpn.vpn.vpn.vpn/32 -d 192.168.5.123/32 -i eth3 -p tcp -m tcp --sport 443 -c 0 0 -j ACCEPT
-A ciscovpn -s 192.168.5.123/32 -d vpn.vpn.vpn.vpn/32 -o eth3 -p udp -m udp --dport 443 -c 3 381 -j ACCEPT
-A ciscovpn -s vpn.vpn.vpn.vpn/32 -d 192.168.5.123/32 -i eth3 -p udp -m udp --sport 443 -c 0 0 -j ACCEPT
-A ciscovpn -s 192.168.5.123/32 -o eth3 -p udp -m udp --dport 53 -c 0 0 -j DROP
-A ciscovpn -s 192.168.5.123/32 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -d 192.168.5.123/32 -i eth3 -p udp -m udp --sport 53 -c 0 0 -j DROP
-A ciscovpn -d 192.168.5.123/32 -i eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.0/24 -d 192.168.5.255/32 -i eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 192.168.5.255/32 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.0/24 -d 224.0.0.251/32 -i eth3 -p udp -m udp --dport 5353 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 224.0.0.251/32 -o eth3 -p udp -m udp --dport 5353 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.0/24 -d 239.255.255.250/32 -i eth3 -p udp -m udp --dport 1900 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 239.255.255.250/32 -o eth3 -p udp -m udp --dport 1900 -c 0 0 -j RETURN
-A ciscovpn -d 224.0.0.0/4 -i eth3 -c 0 0 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 224.0.0.0/4 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -d 255.255.255.255/32 -i eth3 -c 2 187 -j RETURN
-A ciscovpn -s 192.168.5.123/32 -d 255.255.255.255/32 -o eth3 -c 0 0 -j RETURN
-A ciscovpn -s 172.27.194.13/32 -d 10.26.0.0/16 -o cscotun0 -c 0 0 -j RETURN
-A ciscovpn -s 10.26.0.0/16 -d 172.27.194.13/32 -i cscotun0 -c 0 0 -j RETURN
-A ciscovpn -s 172.27.194.13/32 -o cscotun0 -p udp -m udp --dport 53 -c 0 0 -j RETURN
-A ciscovpn -d 172.27.194.13/32 -i cscotun0 -p udp -m udp --sport 53 -c 0 0 -j RETURN
-A ciscovpn -d 255.255.255.255/32 -i cscotun0 -c 0 0 -j RETURN
-A ciscovpn -s 172.27.194.13/32 -d 255.255.255.255/32 -o cscotun0 -c 0 0 -j RETURN
-A ciscovpn -o cscotun0 -c 0 0 -j DROP
-A ciscovpn -i cscotun0 -c 0 0 -j DROP

 

 

На моём роутере я задам static rounting 10.0.0.0/8 через 192.168.5.123

 

Помогите, пожалуйста!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вы домашние компьютеры через NAT собрались в VPN выпускать?

тогда если чтоб почти совсем ничего не настраивать, то

 

iptables -t nat -A POSTROUTING -o $VPNIFACE -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT

где VPNIFACE - поднятый интерфейс VPN

 

этого в 95% случаев будет достаточно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вы домашние компьютеры через NAT собрались в VPN выпускать?

тогда если чтоб почти совсем ничего не настраивать, то

 

iptables -t nat -A POSTROUTING -o $VPNIFACE -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT

где VPNIFACE - поднятый интерфейс VPN

 

этого в 95% случаев будет достаточно

Судя по всему, у меня 5%. Пинги не проходят.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
К сожалению, ваш контент содержит запрещённые слова. Пожалуйста, отредактируйте контент, чтобы удалить выделенные ниже слова.
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...