forum.opennet.ru - "перенаправление порта из виртуальной сети VPN на локальную м..." (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"перенаправление порта из виртуальной сети VPN на локальную м..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
Сообщение от pushkin13 (ok) on 14-Дек-09, 18:18
ситуация такова: есть сервак CENTOS 5.2 на нем поднято VPN сервер (витруальна сеть 10.10.1.0/24) есть 2 интерфейса один смотрит в локалку eth0(192.168.0.10) второй в нет eth1(194.ххх.xxx.251) нужно, чтобы пакеты которые идут из интерфейса 10.10.1.0/24 по порту 5555 перенаправляться на машину в локальной сети IP 192.168.0.55 на порт 9999 подскажите что нужно прописать в iptables
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

перенаправление порта из виртуальной сети VPN на локальную м..., ze6ra, 20:46 , 14-Дек-09, (1)

перенаправление порта из виртуальной сети VPN на локальную м..., pushkin13, 10:12 , 15-Дек-09, (2)

перенаправление порта из виртуальной сети VPN на локальную м..., ze6ra, 15:22 , 15-Дек-09, (3)

перенаправление порта из виртуальной сети VPN на локальную м..., pushkin13, 15:33 , 15-Дек-09, (4)

перенаправление порта из виртуальной сети VPN на локальную м..., ze6ra, 15:55 , 15-Дек-09, (5)

перенаправление порта из виртуальной сети VPN на локальную м..., pushkin13, 16:20 , 15-Дек-09, (6)

перенаправление порта из виртуальной сети VPN на локальную м..., ze6ra, 16:44 , 15-Дек-09, (7)

перенаправление порта из виртуальной сети VPN на локальную м..., pushkin13, 16:55 , 15-Дек-09, (8)

перенаправление порта из виртуальной сети VPN на локальную м..., ze6ra, 19:27 , 15-Дек-09, (9)

перенаправление порта из виртуальной сети VPN на локальную м..., pushkin13, 13:52 , 16-Дек-09, (10)

перенаправление порта из виртуальной сети VPN на локальную м..., pushkin13, 20:03 , 14-Янв-10, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от ze6ra (??) on 14-Дек-09, 20:46

>ситуация такова:
>есть сервак CENTOS 5.2 на нем поднято VPN сервер (витруальна сеть 10.10.1.0/24)
>
>есть 2 интерфейса один смотрит в локалку eth0(192.168.0.10) второй в нет eth1(194.ххх.xxx.251)
>
>нужно, чтобы пакеты которые идут из интерфейса 10.10.1.0/24 по порту 5555 перенаправляться
>на
>машину в локальной сети IP 192.168.0.55 на порт 9999
>
>подскажите что нужно прописать в iptables
iptables -t nat -A PREROUTING -i <iface> -p tcp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999
iptables -t nat -A PREROUTING -i <iface> -p udp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от pushkin13 (ok) on 15-Дек-09, 10:12

>iptables -t nat -A PREROUTING -i <iface> -p tcp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999
>iptables -t nat -A PREROUTING -i <iface> -p udp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999
не идёт
нужно, чтобы пользователе VPN сети могли отсылать почту через внутренний
локальный сервер(192.168.0.55:25) на клиентах прописываю Smtp=10.10.1.1:2525
на VPN сервере перекидка с 2525 на 192.168.0.55:25
я делаю
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j DNAT --to-destination 192.168.0.55:25
iptables -t nat -A PREROUTING -i ppp+ -p udp --dport 2525 -j DNAT --to-destination 192.168.0.55:25
до этих действий почтовый клиент при проверке учетной записи выдает 1 ошибку:
1.типa не может отправить тестовое сообщение но сервер найден
после этих действий 2 ошибки:
1.не найден сервер исходной почты
2.не может отправить тестовое сообщение
вот что прописано в iptables до этих действий
[root@linux-vpn ~]# iptables -t nat --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
You have new mail in /var/spool/mail/root
[root@linux-vpn ~]#
[root@linux-vpn ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1723
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2525
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5901
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6112
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6112
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6128
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6129
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6129
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8282
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:18768
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
[root@linux-vpn ~]#

после этих действий

[root@linux-vpn ~]# iptables -t nat --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:ms-v-worlds to:192.168.0.29:25
DNAT       udp  --  anywhere             anywhere            udp dpt:ms-v-worlds to:192.168.0.29:25
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@linux-vpn ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1723
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2525
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:5901
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6112
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6112
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6128
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:6129
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:6129
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8282
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:18768
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
[root@linux-vpn ~]#
что это может значить?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от ze6ra (ok) on 15-Дек-09, 15:22

>нужно, чтобы пользователе VPN сети могли отсылать почту через внутренний
>локальный сервер(192.168.0.55:25) на клиентах прописываю Smtp=10.10.1.1:2525
>на VPN сервере перекидка с 2525 на 192.168.0.55:25
>
Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25
>я делаю
>iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j
>DNAT --to-destination 192.168.0.55:25
>iptables -t nat -A PREROUTING -i ppp+ -p udp --dport 2525 -j
>DNAT --to-destination 192.168.0.55:25
>
почта только tcp строчку про udp можно удалить.
>до этих действий почтовый клиент при проверке учетной записи выдает 1 ошибку:
>
>1.типa не может отправить тестовое сообщение но сервер найден
>
>после этих действий 2 ошибки:
>1.не найден сервер исходной почты
>2.не может отправить тестовое сообщение
>
а smtp сервер знает где где клиента искать.
smtp текстовый протокол так что можно проверить telnetом, ну и как обычно tcpdump и смотреть что и как и куда побежало.
Да и вообще  вы что-то перемудрили с портами и перенаправлениями.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от pushkin13 (ok) on 15-Дек-09, 15:33

>Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25
потому что все ВПН клиенты находятся не в офисе а на за 30-200км и я не хочу, чтобы отдаленные клиенты видели локалку офиса
но хочу, чтобы они отправляли почту через офисный сервер
так как некоторые провайдеры не предоставляют SMTP сервера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от ze6ra (ok) on 15-Дек-09, 15:55

>>Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25
>
>потому что все ВПН клиенты находятся не в офисе а на за
>30-200км и я не хочу, чтобы отдаленные клиенты видели локалку офиса
>
а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать.
проще фаервол на сервере настроить который разрешит доступ из vpn  только на на 192.168.0.55 и только на 25 порт.
Точно перемудрили сложность повысили, а безопасность ничуть.
>но хочу, чтобы они отправляли почту через офисный сервер
>так как некоторые провайдеры не предоставляют SMTP сервера
да они вроде и не обязаны этого делать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от pushkin13 (ok) on 15-Дек-09, 16:20

>а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать
интересно как он увидит если шлюз не 10.10.1.1 а провайдера
>проще фаервол на сервере настроить который разрешит доступ из vpn  только на на 192.168.0.55 и только на 25 порт.
для этого нужно, чтобы шлюзом был 10.10.1.1 а есть провайдера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от ze6ra (ok) on 15-Дек-09, 16:44

>>а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать
>
>интересно как он увидит если шлюз не 10.10.1.1 а провайдера
и причём здесь шлюз, ему достаточно прописать что маршрут до вашей внутреней сети лежит через vpn. Достаточно одной команды.
>для этого нужно, чтобы шлюзом был 10.10.1.1 а есть провайдера
Почитайте что нибудь основам сетей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от pushkin13 (ok) on 15-Дек-09, 16:55

>и причём здесь шлюз, ему достаточно прописать что маршрут до вашей внутреней сети лежит через vpn. Достаточно одной команды.
неужели ты думаешь что юзер который не знает что такое СМД пропишет маршрут - неа
>Почитайте что нибудь основам сетей.
извиняюсь за тупость, но я - самоучка работаю сис.адм 3 года
ПОМОГИТЕ НАСТРОИТЬ ТАК КАК МНЕ НАДА

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от ze6ra (??) on 15-Дек-09, 19:27

>неужели ты думаешь что юзер который не знает что такое СМД пропишет
>маршрут - неа
я же говорил что грамотный пользователь, такие тоже бывают :)
>извиняюсь за тупость, но я - самоучка работаю сис.адм 3 года
>
>ПОМОГИТЕ НАСТРОИТЬ ТАК КАК МНЕ НАДА
ну за три то года tcpdump и telnet можно было и подучить, да и про smtp можно хотяб статью в википедеи почитать.
как порты в iptables пренапрвлять вам уже показывали, и поскольку простым путём  идти вы не хотите то включайте уже мозг, руки переставляйте в район плеч, запускайте tcpdump анализируйте вывод, задавайте нормальные вопросы вам и ответят.
А то в варианте уменя нечего не рабтало, я добавил эти строчки и снова не работает, но както по другому, вам помочь сложно, да и не особо хочется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от pushkin13 (ok) on 16-Дек-09, 13:52

вот что пишит tcpdump когда я проверяю почтовый ящик
[root@linux-vpn ~]# tcpdump -ni ppp22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp22, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
12:42:36.073297 IP 10.10.1.10.4181 > 10.10.1.1.ms-v-worlds: S 1358320223:1358320223(0) win 16384 <mss 1360,nop,nop,sackOK>
12:42:39.020792 IP 10.10.1.10.4181 > 10.10.1.1.ms-v-worlds: S 1358320223:1358320223(0) win 16384 <mss 1360,nop,nop,sackOK>
12:42:41.112423 IP 10.10.1.10.4184 > 10.10.1.1.ms-v-worlds: S 2390525074:2390525074(0) win 16384 <mss 1360,nop,nop,sackOK>
12:42:44.143428 IP 10.10.1.10.4184 > 10.10.1.1.ms-v-worlds: S 2390525074:2390525074(0) win 16384 <mss 1360,nop,nop,sackOK>
4 packets captured
8 packets received by filter
0 packets dropped by kernel
а вот ето он выдаёт до
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j DNAT --to-destination 192.168.0.55:25

[root@linux-vpn ~]# tcpdump -i ppp22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp22, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:32:24.850651 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.077586 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1437413014 win 0
13:32:25.352230 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.352257 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1 win 0
13:32:25.855214 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.855242 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1 win 0
13:32:25.914570 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:25.914605 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1001199292 win 0
13:32:26.358166 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:26.358195 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1 win 0
13:32:26.861200 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK>
13:32:26.861229 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1 win 0
12 packets captured
24 packets received by filter
0 packets dropped by kernel
что ето значит????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "перенаправление порта из виртуальной сети VPN на локальную м..." +/–

Сообщение от pushkin13 (ok) on 14-Янв-10, 20:03

всё рещил. переписал iptables ручками буз использования графического интефейса и всё пошло
спасибо за помощь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
Сообщение от ze6ra (??) on 14-Дек-09, 20:46
>ситуация такова: >есть сервак CENTOS 5.2 на нем поднято VPN сервер (витруальна сеть 10.10.1.0/24) > >есть 2 интерфейса один смотрит в локалку eth0(192.168.0.10) второй в нет eth1(194.ххх.xxx.251) > >нужно, чтобы пакеты которые идут из интерфейса 10.10.1.0/24 по порту 5555 перенаправляться >на >машину в локальной сети IP 192.168.0.55 на порт 9999 > >подскажите что нужно прописать в iptables iptables -t nat -A PREROUTING -i <iface> -p tcp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999 iptables -t nat -A PREROUTING -i <iface> -p udp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от pushkin13 (ok) on 15-Дек-09, 10:12
	>iptables -t nat -A PREROUTING -i <iface> -p tcp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999 >iptables -t nat -A PREROUTING -i <iface> -p udp --dport 5555 -j DNAT --to-destination 192.168.0.55:9999 не идёт нужно, чтобы пользователе VPN сети могли отсылать почту через внутренний локальный сервер(192.168.0.55:25) на клиентах прописываю Smtp=10.10.1.1:2525 на VPN сервере перекидка с 2525 на 192.168.0.55:25 я делаю iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j DNAT --to-destination 192.168.0.55:25 iptables -t nat -A PREROUTING -i ppp+ -p udp --dport 2525 -j DNAT --to-destination 192.168.0.55:25 до этих действий почтовый клиент при проверке учетной записи выдает 1 ошибку: 1.типa не может отправить тестовое сообщение но сервер найден после этих действий 2 ошибки: 1.не найден сервер исходной почты 2.не может отправить тестовое сообщение вот что прописано в iptables до этих действий [root@linux-vpn ~]# iptables -t nat --list Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination You have new mail in /var/spool/mail/root [root@linux-vpn ~]# [root@linux-vpn ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:137 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:138 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:139 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:445 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1723 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2525 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5432 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5901 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6112 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:6112 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6128 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6129 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:6129 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8282 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:18768 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited [root@linux-vpn ~]# после этих действий [root@linux-vpn ~]# iptables -t nat --list Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:ms-v-worlds to:192.168.0.29:25 DNAT udp -- anywhere anywhere udp dpt:ms-v-worlds to:192.168.0.29:25 Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@linux-vpn ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:137 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:138 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:139 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:445 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1723 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2525 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5432 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5901 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6112 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:6112 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6128 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6129 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:6129 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8282 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:18768 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited [root@linux-vpn ~]# что это может значить?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от ze6ra (ok) on 15-Дек-09, 15:22
	>нужно, чтобы пользователе VPN сети могли отсылать почту через внутренний >локальный сервер(192.168.0.55:25) на клиентах прописываю Smtp=10.10.1.1:2525 >на VPN сервере перекидка с 2525 на 192.168.0.55:25 > Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25 >я делаю >iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j >DNAT --to-destination 192.168.0.55:25 >iptables -t nat -A PREROUTING -i ppp+ -p udp --dport 2525 -j >DNAT --to-destination 192.168.0.55:25 > почта только tcp строчку про udp можно удалить. >до этих действий почтовый клиент при проверке учетной записи выдает 1 ошибку: > >1.типa не может отправить тестовое сообщение но сервер найден > >после этих действий 2 ошибки: >1.не найден сервер исходной почты >2.не может отправить тестовое сообщение > а smtp сервер знает где где клиента искать. smtp текстовый протокол так что можно проверить telnetом, ну и как обычно tcpdump и смотреть что и как и куда побежало. Да и вообще вы что-то перемудрили с портами и перенаправлениями.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от pushkin13 (ok) on 15-Дек-09, 15:33
	>Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25 потому что все ВПН клиенты находятся не в офисе а на за 30-200км и я не хочу, чтобы отдаленные клиенты видели локалку офиса но хочу, чтобы они отправляли почту через офисный сервер так как некоторые провайдеры не предоставляют SMTP сервера
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от ze6ra (ok) on 15-Дек-09, 15:55
	>>Если честно зачем такие извращения почему сразу не прописать Smtp=192.168.0.55:25 > >потому что все ВПН клиенты находятся не в офисе а на за >30-200км и я не хочу, чтобы отдаленные клиенты видели локалку офиса > а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать. проще фаервол на сервере настроить который разрешит доступ из vpn только на на 192.168.0.55 и только на 25 порт. Точно перемудрили сложность повысили, а безопасность ничуть. >но хочу, чтобы они отправляли почту через офисный сервер >так как некоторые провайдеры не предоставляют SMTP сервера да они вроде и не обязаны этого делать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от pushkin13 (ok) on 15-Дек-09, 16:20
	>а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать интересно как он увидит если шлюз не 10.10.1.1 а провайдера >проще фаервол на сервере настроить который разрешит доступ из vpn только на на 192.168.0.55 и только на 25 порт. для этого нужно, чтобы шлюзом был 10.10.1.1 а есть провайдера
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от ze6ra (ok) on 15-Дек-09, 16:44
	>>а если особо умный клиент даст у себя команду route то резко увидит вашу сеть которую вы так извращёно пытаетесь спрятать > >интересно как он увидит если шлюз не 10.10.1.1 а провайдера и причём здесь шлюз, ему достаточно прописать что маршрут до вашей внутреней сети лежит через vpn. Достаточно одной команды. >для этого нужно, чтобы шлюзом был 10.10.1.1 а есть провайдера Почитайте что нибудь основам сетей.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от pushkin13 (ok) on 15-Дек-09, 16:55
	>и причём здесь шлюз, ему достаточно прописать что маршрут до вашей внутреней сети лежит через vpn. Достаточно одной команды. неужели ты думаешь что юзер который не знает что такое СМД пропишет маршрут - неа >Почитайте что нибудь основам сетей. извиняюсь за тупость, но я - самоучка работаю сис.адм 3 года ПОМОГИТЕ НАСТРОИТЬ ТАК КАК МНЕ НАДА
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от ze6ra (??) on 15-Дек-09, 19:27
	>неужели ты думаешь что юзер который не знает что такое СМД пропишет >маршрут - неа я же говорил что грамотный пользователь, такие тоже бывают :) >извиняюсь за тупость, но я - самоучка работаю сис.адм 3 года > >ПОМОГИТЕ НАСТРОИТЬ ТАК КАК МНЕ НАДА ну за три то года tcpdump и telnet можно было и подучить, да и про smtp можно хотяб статью в википедеи почитать. как порты в iptables пренапрвлять вам уже показывали, и поскольку простым путём идти вы не хотите то включайте уже мозг, руки переставляйте в район плеч, запускайте tcpdump анализируйте вывод, задавайте нормальные вопросы вам и ответят. А то в варианте уменя нечего не рабтало, я добавил эти строчки и снова не работает, но както по другому, вам помочь сложно, да и не особо хочется.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от pushkin13 (ok) on 16-Дек-09, 13:52
	вот что пишит tcpdump когда я проверяю почтовый ящик [root@linux-vpn ~]# tcpdump -ni ppp22 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp22, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 12:42:36.073297 IP 10.10.1.10.4181 > 10.10.1.1.ms-v-worlds: S 1358320223:1358320223(0) win 16384 <mss 1360,nop,nop,sackOK> 12:42:39.020792 IP 10.10.1.10.4181 > 10.10.1.1.ms-v-worlds: S 1358320223:1358320223(0) win 16384 <mss 1360,nop,nop,sackOK> 12:42:41.112423 IP 10.10.1.10.4184 > 10.10.1.1.ms-v-worlds: S 2390525074:2390525074(0) win 16384 <mss 1360,nop,nop,sackOK> 12:42:44.143428 IP 10.10.1.10.4184 > 10.10.1.1.ms-v-worlds: S 2390525074:2390525074(0) win 16384 <mss 1360,nop,nop,sackOK> 4 packets captured 8 packets received by filter 0 packets dropped by kernel а вот ето он выдаёт до iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 2525 -j DNAT --to-destination 192.168.0.55:25 [root@linux-vpn ~]# tcpdump -i ppp22 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp22, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 13:32:24.850651 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK> 13:32:25.077586 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1437413014 win 0 13:32:25.352230 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK> 13:32:25.352257 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1 win 0 13:32:25.855214 IP 10.10.1.10.1133 > 10.10.1.1.ms-v-worlds: S 1437413013:1437413013(0) win 16384 <mss 1360,nop,nop,sackOK> 13:32:25.855242 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1133: R 0:0(0) ack 1 win 0 13:32:25.914570 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK> 13:32:25.914605 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1001199292 win 0 13:32:26.358166 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK> 13:32:26.358195 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1 win 0 13:32:26.861200 IP 10.10.1.10.1136 > 10.10.1.1.ms-v-worlds: S 1001199291:1001199291(0) win 16384 <mss 1360,nop,nop,sackOK> 13:32:26.861229 IP 10.10.1.1.ms-v-worlds > 10.10.1.10.1136: R 0:0(0) ack 1 win 0 12 packets captured 24 packets received by filter 0 packets dropped by kernel что ето значит????
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "перенаправление порта из виртуальной сети VPN на локальную м..."		+/–
	Сообщение от pushkin13 (ok) on 14-Янв-10, 20:03
	всё рещил. переписал iptables ручками буз использования графического интефейса и всё пошло спасибо за помощь
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору