greatzika
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не могу понять что не так.
Есть сервер (хетцнер)
на нем стоит проксмокс 5.1
физический интерфейс бриджится на vmbr0 и есть виртуальный мост vmbr1 который держит локалку для виртуалок
ип на vmbr1 192.168.10.1
ип на виртуальном сервере терминалов (меня интересует именно он) 192.168.10.5
настроил прохождение пакетов макскардинг и иже с нимми... но открывать доступ к вин серверу всему инету понятно не хочется..
ставлю пптп настраиваю на выдачу айпишников 10.101-10.200
подключение проходит но я не могу с клиента подключенного по впн попасть на скажем терминалку...
вопрос что надо дорыть...
/etc/network/interfaces
#
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback
auto vmbr0
iface vmbr0 inet static
address 88.99.144.X
netmask 255.255.255.192
gateway 88.99.144.X
bridge_ports enp0s31f6
bridge_stp off
bridge_fd 0
auto vmbr1
iface vmbr1 inet static
address 192.168.10.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '192.168.10.0/24' -o enp0s31f6 -j MASQUERADE
post-up iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '192.168.10.0/24' -o enp0s31f6 -j MASQUERADE
iptables прописываю пока в firewall.sh и запускаю его
#!/bin/bash
# Тут в принципе может и не надо этого всего но не помеха
# вдруг какой модуль не подгружен или форвардинг не включен
#echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
modprobe iptable_nat
#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
# Объявление переменных
export IPT="iptables"
# Интерфейс который смотрит в интернет
export WAN=vmbr0
#export FWAN=enp0s31f6
#export PWAN=ppp0
# Локальная сеть
export LAN=vmbr1
#export LAN_IP_RANGE=192.168.0.0/24
# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Закрываем изначально ВСЁ (т.е. изначально все что не разрешено - запрещено):
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
# разрешаем локальный траффик для loopback и внутренней сети
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
#$IPT -A INPUT -s 192.168.10.0/24 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для новых, а так же уже инициированных
# и их дочерних соединений
# разрешаем локальный траффик для loopback и внутренней сети
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
#$IPT -A INPUT -s 192.168.10.0/24 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для новых, а так же уже инициированных
# и их дочерних соединений
$IPT -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным.
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
# Разрешаем доступ из внутренней сети наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT
# Маскарадинг
$IPT -t nat -A POSTROUTING -o $WAN -s 192.168.10.0/24 -j MASQUERADE
# Далее дано как пример открытие портов извне:
# **********************************************************************
# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для vpn
$IPT -A INPUT -p tcp --dport 1723 -j ACCEPT
$IPT -A INPUT -p gre -j ACCEPT
#$IPT -t nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
#$IPT -A INPUT -s 192.168.10.0/24 -i ppp0 -j ACCEPT
#$IPT --append FORWARD --in-interface $PWAN -j ACCEPT
#$IPT -A OUTPUT -o $PWAN -j ACCEPT
# Открываем порт для proxmox
$IPT -A INPUT -i $WAN -p tcp --dport 8006 -j ACCEPT
# Открываем Порт RDP для терминала
#$IPT -A PREROUTING -t nat -i $WAN -p tcp -d 88.99.144.Х --dport 23:8005 -j DNAT --to 192.168.10.5
$IPT -A PREROUTING -t nat -i $WAN -p tcp -d 88.99.144.Х --dport 3389 -j DNAT --to 192.168.10.5
$IPT -A Input -i $WAN -p tcp -s 195.182.130.Х --dport 3389 -j ACCEPT#подключение из офиса
$IPT -A Input -i $WAN -p tcp -d 192.168.10.5 --dport 3389 -j ACCEPT#эксперимент...
$IPT -A Input -p tcp --dport 3389 -j DROP#закрытие доступа всем кому не октрыто
вот как то так....
|
