ViPNet клиент через linux firewall

[pivich]

День добрый.

Проблема такая - есть локальная сеть, в ней установлен ViPnet клиент (192.168.0.1) . Выход - через firewall linux, 2.6.8, iptables 1.2.11.

Строго по факу разрешил NAT для пакетов udp на порт 55777 :

iptables -t nat -A POSTROUTING -p udp -m udp -o eth1 -s 192.168.0.1 --dport 55777 -j MASQUERADE

И для входящих с порта 55777 :

iptables -t nat -A PREROUTING -p udp -m udp --sport 55777 -- -i eth1 DNAT --to-destination 192.168.0.1

разрешил пакеты с/на udp 55777 : iptables -A INPUT -p udp -m udp --[d/s]port 55777 -j ACCEPT

ip_forwarding включен.

При прослушивание tcpdump-ом вижу следующее :

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

01:47:32.238703 IP (tos 0x0, ttl 127, id 294, offset 0, flags [none], length: 254) 192.168.0.1 > ***.***.***.***: ip-proto-241 234

01:48:02.229399 IP (tos 0x0, ttl 127, id 776, offset 0, flags [none], length: 253) 192.168.0.1 > ***.***.***.***: ip-proto-241 233

Попробовал включить NAT для ip-протокола 241 - не помогает. соединение не происходит.

С этого же компьютера (192.168.0.1) при подключении через модем - все работает. ViPNet в режиме номер 4 (к сожалению админю я удаленно и пока не могу точно глянуть какие остальные там настройки указаны).

Подскажите пожалуйста, нужно ли догружать какие-нибудть специфические модули для ядра, либо дополнительно указывать что-то в файрволе ?

Заранее благодарю.

[Dr. Evil]

Добрый день!

У меня несколько вопросов по настройке, во-первых, Вашего NATa, а во-вторых, программного обеспечения ViPNet. в-третьих, по стуктуре сети.

Вопрос (пожелание) номер один:

iptables -t nat -A POSTROUTING -p udp -m udp -o eth1 -s 192.168.0.1 --dport 55777 -j MASQUERADE

это правило делает динамический NAT. Поэтому вот это правило, написанное Вами в другой цепочке, ненужно.

iptables -t nat -A PREROUTING -p udp -m udp --sport 55777 -- -i eth1 DNAT --to-destination 192.168.0.1

Рекомендую Вам сделать вот такие настройке на фаерволе. Конечно, если у Вас за этим устройством только один ViPNet [Клиент]:

1) -A POSTROUTING -s 192.168.0.1 -o eth1 -j SNAT --to-source _здесь надо указать внешний адрес Вашего NAT-устройства_

это самое простое правило, которое, конечно, можно настроить под свои нужды.

2) -A PREROUTING -d _здесь надо указать внешний адрес Вашего NAT-устройства_ -i eth1 -p udp -m udp --dport 55777 -j DNAT --to-destination 192.168.0.1:55777

3) -A FORWARD -s 192.168.0.1 -i eth0 -m state --state NEW -j ACCEPT

Этих трех правил достаточно, чтобы обеспечить прохождение пакетов. Замечу, что в цепочке INPUT правил для 192.168.0.1 вообще добавлять ненадо.

Вопрос по настройке Вашего ViPNet [Клиента]:

Что именно выставлено в качестве фаервола в меню Настройка ViPNet [Клиент][Монитор]?

С кем именно пытается соединиться ViPNet [Клиент]?

01:47:32.238703 IP (tos 0x0, ttl 127, id 294, offset 0, flags [none], length: 254) 192.168.0.1 > ***.***.***.***: ip-proto-241 234

Это появляется из-за того, что ViPNet [Клиент] пытается найти широковещательными запросами узлы, находящиесмя в [Мониторе] --> Защищенная сеть

[pivich]

Благодарю, проблема решилась установкой в клиенте межсетевого экрана в режиме "динамический nat".

[alex_80]

Добрый день!

У меня всё нормально работает.

Хотел бы поделиться настройками Shorewall. Для работы VipNet использую следующие правила:

#192.168.60.100 - ip-адрес клиентского компьютера с ПО VipNet

DNAT net loc:192.168.60.100 udp 55777 55777

ACCEPT all $FW udp 55777 55777

ACCEPT loc net udp - 55777

[Lamme]

Долго бились над этой же проблемой, (учитывая, что в Линуксе - чайники, все было еще печальнее), пока не нашли эту ветку.

Для одной машины все работает. Но у нас VipNet стоит на нескольких.

Как быть в таком случае?

От безысходности решили сделать так: прописали те же строки, но с другим ip-адресом и портом 55778 и настроили на второй машине работу VipNet через порт 55778. Вроде работает. Вот только верно ли мы сделали с точки зрения правильности настройки iptables вообще?

Изменено 25 Мая 2012 пользователем Lamme