Maciej Kóska wrote: > Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. > Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy > podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany > wewnętrznym ip mogli podłączyć się terminalami.
Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap, wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do okreslonych protokolow i portow. > Wszelkie inne sugestie są będą bardzo mile widziane. > poniżej konfig mojego firewalla > > iptables -F > iptables -F -t nat > iptables -X -t nat > iptables -F -t filter > iptables -X -t filter > > iptables -P FORWARD DROP > iptables -P INPUT DROP > iptables -P OUTPUT ACCEPT > > echo "1" > /proc/sys/net/ipv4/ip_forward > iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 > -j ACCEPT > iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 > -j ACCEPT Zakladam, ze eth0 to int_if, a eth1 to ext_if Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem. Wyrzucilbym tu regule 2 w FORWARD. > iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j > MASQUERADE tu bym raczej nie maskowal pakietow do sieci vpn iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d ! siec_vpn -j MASQUERADE > #------poczatek sekcji openvpn > > iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT > iptables -A INPUT -i tun+ -j ACCEPT co mobilni beda szukac na routerze? > iptables -A FORWARD -i tun+ -j ACCEPT a teraz ruch w druga strone: iptables -A FORWARD -o tun+ -j ACCEPT lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z Internetu, jak i z sieci vpn) iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Pozdrawiam Bohdan -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
