Обычный Iptables на OpenWRT

1

2

Здравствуйте. Что-то совсем лажаю. Есть рутер со свеженакатанным опенврт и локалкой 192.168.5.0/24, в нем сервачёк 192.168.5.100 (HTTP и еще всякое). Также есть настроенный и поднятый на рутере пптп-клиентский туннель (виден и на рутере и на сервере), вот например кусок ифконфига из рутера:

pptp-vpn Link encap:Point-to-Point Protocol inet addr:10.11.0.1 P-t-P:10.1.0.1 Mask:255.255.255.255

Нужно чтобы с пптп-сервера можно было по айпи 10.11.0.1 попасть на сервачёк, то есть на рутере нужно весь траффик входящий в pptp-vpn напрвить на айпишник 192.168.5.100 (типо DMZ).

Захожу на рутер прописываю:

iptables -t nat -A PREROUTING -i pptp-vpn -j DNAT --to-destination 192.168.5.100

На пптп-сервере захожу links-ом на 10.11.0.1 и получаю Connection Refused. Из локалки на 192.168.5.100 заходит.

Ссылка

←	Mesh сеть. Рецепт

Разыскивается софт для организации Wi-Fi Hotspot

→

c vpn-сервера ping на 10.11.0.1 на роутере видно (tcpdump -ni pptp-vpn)?

в таблица nat есть еще правила ?

в таблице filter нет запретов ?

vel ★★★★★
(03.06.15 17:08:46 MSK)

Ответ на: комментарий от vel 03.06.15 17:08:46 MSK

Вот такой вот пинг с впн-сервера:

ping 10.11.0.1
PING 10.11.0.1 (10.11.0.1) 56(84) bytes of data.
From 10.11.0.1 icmp_seq=1 Destination Port Unreachable
From 10.11.0.1 icmp_seq=2 Destination Port Unreachable
^C
--- 10.11.0.1 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1534ms

виден вот так:

root@OpenWrt:~# tcpdump -ni pptp-vpn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pptp-vpn, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

14:23:45.182867 IP 10.1.0.1 > 10.11.0.1: ICMP echo request, id 43594, seq 1, length 64
14:23:45.183013 IP 10.11.0.1 > 10.1.0.1: ICMP 10.11.0.1 protocol 1 port 47232 unreachable, length 92
14:23:46.185024 IP 10.1.0.1 > 10.11.0.1: ICMP echo request, id 43594, seq 2, length 64
14:23:46.185182 IP 10.11.0.1 > 10.1.0.1: ICMP 10.11.0.1 protocol 1 port 27768 unreachable, length 92

То есть вроде как ответ уходит но с портом что-то не то. Правила вроде из-коропки: нат http://pastebin.com/raw.php?i=JSf4rbqJ Фильтр http://pastebin.com/raw.php?i=u9effi0s

dartan
(03.06.15 17:37:47 MSK) автор топика

Ответ на: комментарий от dartan 03.06.15 17:37:47 MSK

То есть вроде как ответ уходит но с портом что-то не то

Ты прикалываешься?

ICMP 10.11.0.1 protocol 1 port 47232 unreachable

Перевожу - это отлуп файрвола, порт здесь дело десятое. Зарезан весь icmp судя по всему.

iptables -vn -L в студию

Pinkbyte ★★★★★
(03.06.15 18:24:38 MSK)

Ссылка

Ответ на: комментарий от dartan 03.06.15 17:37:47 MSK

Ты сам-то посмотрел, что выкладываешь ? То, что ты выложил практически бесполезно.

«iptables -nvxL» «iptables -t nat -nvxL» вот что представляет интерес.

проблем с filter точно есть!

vel ★★★★★
(03.06.15 19:19:54 MSK)

Ответ на: комментарий от vel 03.06.15 19:19:54 MSK

Ок, спасибо полезно, обнулил счетчики, запустил пинг снова и увидел что в filter.FORWARD.reject попало ровно столько пакетов столько ушло с пинга. И там реально есть reject-with icmp-port-unreachable (это видно в -L тоже). А я думал что оно ни попадет ни под одно правило и будет дропнуто дефолтной политикой форварада, и просто изменил ее на аксепт, а так получается что дефолтная политика даже не используется. В общем спасибо, проблема решена, на сервер заходит.

dartan
(04.06.15 10:59:08 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Mesh сеть. Рецепт

Admin

Разыскивается софт для организации Wi-Fi Hotspot

→

Похожие темы