greatzika
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не могу понять что не так. Есть сервер (хетцнер) на нем стоит проксмокс 5.1 физический интерфейс бриджится на vmbr0 и есть виртуальный мост vmbr1 который держит локалку для виртуалок ип на vmbr1 192.168.10.1 ип на виртуальном сервере терминалов (меня интересует именно он) 192.168.10.5 настроил прохождение пакетов макскардинг и иже с нимми... но открывать доступ к вин серверу всему инету понятно не хочется.. ставлю пптп настраиваю на выдачу айпишников 10.101-10.200 подключение проходит но я не могу с клиента подключенного по впн попасть на скажем терминалку... вопрос что надо дорыть... /etc/network/interfaces # source /etc/network/interfaces.d/* auto lo iface lo inet loopback auto vmbr0 iface vmbr0 inet static address 88.99.144.X netmask 255.255.255.192 gateway 88.99.144.X bridge_ports enp0s31f6 bridge_stp off bridge_fd 0 auto vmbr1 iface vmbr1 inet static address 192.168.10.1 netmask 255.255.255.0 bridge_ports none bridge_stp off bridge_fd 0 post-up echo 1 > /proc/sys/net/ipv4/ip_forward post-up iptables -t nat -A POSTROUTING -s '192.168.10.0/24' -o enp0s31f6 -j MASQUERADE post-up iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE post-down iptables -t nat -D POSTROUTING -s '192.168.10.0/24' -o enp0s31f6 -j MASQUERADE iptables прописываю пока в firewall.sh и запускаю его #!/bin/bash # Тут в принципе может и не надо этого всего но не помеха # вдруг какой модуль не подгружен или форвардинг не включен #echo "1" > /proc/sys/net/ipv4/ip_forward #echo "1" > /proc/sys/net/ipv4/ip_dynaddr modprobe iptable_nat #modprobe ip_conntrack_ftp #modprobe ip_nat_ftp # Объявление переменных export IPT="iptables" # Интерфейс который смотрит в интернет export WAN=vmbr0 #export FWAN=enp0s31f6 #export PWAN=ppp0 # Локальная сеть export LAN=vmbr1 #export LAN_IP_RANGE=192.168.0.0/24 # Очистка всех цепочек iptables $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X # Закрываем изначально ВСЁ (т.е. изначально все что не разрешено - запрещено): $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # разрешаем локальный траффик для loopback и внутренней сети $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -i $LAN -j ACCEPT #$IPT -A INPUT -s 192.168.10.0/24 -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -o $LAN -j ACCEPT # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. # Пропускать все уже инициированные соединения, а также дочерние от них $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Пропускать новые, а так же уже инициированные и их дочерние соединения $IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Разрешить форвардинг для новых, а так же уже инициированных # и их дочерних соединений # разрешаем локальный траффик для loopback и внутренней сети $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -i $LAN -j ACCEPT #$IPT -A INPUT -s 192.168.10.0/24 -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -o $LAN -j ACCEPT # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. # Пропускать все уже инициированные соединения, а также дочерние от них $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Пропускать новые, а так же уже инициированные и их дочерние соединения $IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Разрешить форвардинг для новых, а так же уже инициированных # и их дочерних соединений $IPT -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Включаем фрагментацию пакетов. Необходимо из за разных значений MTU $IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # Отбрасывать все пакеты, которые не могут быть идентифицированы # и поэтому не могут иметь определенного статуса. $IPT -A INPUT -m state --state INVALID -j DROP $IPT -A FORWARD -m state --state INVALID -j DROP # Приводит к связыванию системных ресурсов, так что реальный # обмен данными становится не возможным. $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP # Разрешаем доступ из внутренней сети наружу $IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT # Запрещаем доступ снаружи во внутреннюю сеть $IPT -A FORWARD -i $WAN -o $LAN -j REJECT # Маскарадинг $IPT -t nat -A POSTROUTING -o $WAN -s 192.168.10.0/24 -j MASQUERADE # Далее дано как пример открытие портов извне: # ********************************************************************** # Открываем порт для ssh $IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT # Открываем порт для vpn $IPT -A INPUT -p tcp --dport 1723 -j ACCEPT $IPT -A INPUT -p gre -j ACCEPT #$IPT -t nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE #$IPT -A INPUT -s 192.168.10.0/24 -i ppp0 -j ACCEPT #$IPT --append FORWARD --in-interface $PWAN -j ACCEPT #$IPT -A OUTPUT -o $PWAN -j ACCEPT # Открываем порт для proxmox $IPT -A INPUT -i $WAN -p tcp --dport 8006 -j ACCEPT # Открываем Порт RDP для терминала #$IPT -A PREROUTING -t nat -i $WAN -p tcp -d 88.99.144.Х --dport 23:8005 -j DNAT --to 192.168.10.5 $IPT -A PREROUTING -t nat -i $WAN -p tcp -d 88.99.144.Х --dport 3389 -j DNAT --to 192.168.10.5 $IPT -A Input -i $WAN -p tcp -s 195.182.130.Х --dport 3389 -j ACCEPT#подключение из офиса $IPT -A Input -i $WAN -p tcp -d 192.168.10.5 --dport 3389 -j ACCEPT#эксперимент... $IPT -A Input -p tcp --dport 3389 -j DROP#закрытие доступа всем кому не октрыто вот как то так.... |