Jak na NAT v Debian 8?

23. 11. 2016 15:29:55

Zdravím,

Mám na Debianu VPN na které když se připojím tak mám IP adresu v debianu 172.16.91.100 jak udělám aby se mi všechny porty z této IP adresy přesměrovali na veřejnou IP adresu toho serveru? Krom portu 1723 na kterém VPN běží.

23. 11. 2016 15:29:55

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239009

TomasX

(4 hodnocení)

23. 11. 2016 16:12:12

Nerozumím požadavku, chceš z internetu přistupovat na domácí počítač? Nebo chceš z domácího počítače přistupovat na internet přes ten server?

Pošli výsledek příkazů z debiáního serveru ifconfig --all a netstat -rn, na základě toho ti mohu poslat přesné znění iptables pravidla.

V praxi se k tomu nejčastějí používá nějaký nat nebo bridge, záleží co chceš. Předpokládám, že pokud mluvíš o VPN, myslíš openVPN, mají na to dokumentaci https://community.openvpn.net/openvpn/wiki/BridgingAndRouting

Např. pokud se chceš připojovat z domácího počítače do internet přes devian server, musíš zapnout ipv4 forward a do iptables nastavit:

pravidlo je dočasné a stačil restartovat server a je pryč, to jen kdyby se ti něco nepovedlo. Předpokládám; že vnější interface je eth0.

23. 11. 2016 16:12:12

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239008

Václav Dušek

(77 hodnocení)

23. 11. 2016 16:51:20

https://www.softether.org/

23. 11. 2016 16:51:20

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239007

TomasX

(4 hodnocení)

23. 11. 2016 16:53:59

se softether bude mít ale stejný problém, musí ho nakonfigurovat :), jedno, dvě pravidla do iptables mi připadají jednodušší než mnoha megabajtový moloh

23. 11. 2016 16:53:59

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239006

barneby

(1 hodnocení)

23. 11. 2016 18:49:16

Vím že se to dělá pomocí IP tables jen neznám to správné znění příkazu.

Jako VPN mám na serveru nainstalovany PPTP a ten má svojí interface ppt0 primární je eth0. A já potřebuji že když se připojím na to VPN aby moje připojení jelo přes ten server a z mého připojení šli porty na veřejku toho serveru, krom toho portu pro pptp.

---------- Příspěvek doplněn 23.11.2016 v 18:50 ----------

MASQUERADE a DHCP mám nastavené pro ten interface ppt0

23. 11. 2016 18:49:16

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239005

TomasX

(4 hodnocení)

23. 11. 2016 21:48:32

jasně, chápu.

obecně si musíš nechat na serveru 22 pro ssh a 1723 s 47 pro PPTP (porty tahám z hlavy, možná máš jiné). Tady musíš použít DNAT na vstupu, aby poslal spojení k tobě na server (přepsal cílovou IP adresu) a SNAT, aby odpovědi od tebe měly IP adresu serveru a ne tvoji lokální, to se zároveň kryje s pravidlem, které jsem poslal výše a již ho nemusíš používat.

Předpokládám, že tvoje veřejná IP adresa na serveru je 2.2.2.2, změň si jí podle sebe. MASQUERADE nepotřebuješ mít zapnuté a nejlepší je, když tohle začneš zkoušet na čistém iptables bez dalších vylomenit nebo pošli jeho výpis, ať ti řeknu co změnit nebo dát pryč.

(nezkoušeno a píšu z hlavy na mobilu, snad to je správně :-)

23. 11. 2016 21:48:32

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239004

barneby

(1 hodnocení)

23. 11. 2016 23:53:19

Napsal TomášX;1341343
jasně, chápu.
obecně si musíš nechat na serveru 22 pro ssh a 1723 s 47 pro PPTP (porty tahám z hlavy, možná máš jiné). Tady musíš použít DNAT na vstupu, aby poslal spojení k tobě na server (přepsal cílovou IP adresu) a SNAT, aby odpovědi od tebe měly IP adresu serveru a ne tvoji lokální, to se zároveň kryje s pravidlem, které jsem poslal výše a již ho nemusíš používat.
Předpokládám, že tvoje veřejná IP adresa na serveru je 2.2.2.2, změň si jí podle sebe. MASQUERADE nepotřebuješ mít zapnuté a nejlepší je, když tohle začneš zkoušet na čistém iptables bez dalších vylomenit nebo pošli jeho výpis, ať ti řeknu co změnit nebo dát pryč.
# nejprve je potřeba pustit na server whitelistované porty a nepřesměrovávat je na tvůj pciptables -t nat -A PREROUTING -p tcp -m tcp --dport 22 -j ACCEPTiptables -t nat -A PREROUTING -p tcp -m tcp --dport 47 -j ACCEPTiptables -t nat -A PREROUTING -p tcp -m tcp --dport 1723 -j ACCEPT# tady zaměníme cíl paketu z servové IP adresy na tu tvoji domácíiptables -t nat -A PREROUTING -d 2.2.2.2 -j DNAT –to-destination 172.16.91.100# jakmile od tebe příjde nějaký paket (například odpověď na příchozí spojení), změníme zdrojovou IP adresu# na IP adresu serveru, aby požadavky neskončily v propadlišti dějiniptables -t nat -A POSTROUTING -s 172.16.91.100 -j SNAT –to-source 2.2.2.2
(nezkoušeno a píšu z hlavy na mobilu, snad to je správně :-)

Supr funguje jak potřebuji jen příkaz:

mi píše: iptables v1.4.21: unknown option "SNAT". Hledal jsem na google ale nechápu co je tam špatně.

23. 11. 2016 23:53:19

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239003

TomasX

(4 hodnocení)

24. 11. 2016 08:35:42

hm, spíš bych to viděl na chybu přepisu příkazu, nevidím, že je něco špatně. Podporu pro snat je možné odstranit, ale debian to nedělá.

To je jedno, použijeme masquerade, je sice náročnější na výkon, ale dělá ve výsledku to stejné. Zdrojová IP adresa je nepovinná (-s), ale já jí rád uvádím, abych měl jistotu, že to dělá jen to co chci a že to nebude přeposílat nic jiného ze sítě.

24. 11. 2016 08:35:42

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239002

barneby

(1 hodnocení)

25. 11. 2016 11:09:15

Napsal TomášX;1341402
hm, spíš bych to viděl na chybu přepisu příkazu, nevidím, že je něco špatně. Podporu pro snat je možné odstranit, ale debian to nedělá.
To je jedno, použijeme masquerade, je sice náročnější na výkon, ale dělá ve výsledku to stejné. Zdrojová IP adresa je nepovinná (-s), ale já jí rád uvádím, abych měl jistotu, že to dělá jen to co chci a že to nebude přeposílat nic jiného ze sítě.
iptables -t nat -I POSTROUTING -o eth0 -s 172.16.91.100 -j MASQUERADE

No teď pro změnu nefunguje nic.

Píše mi tohle:

Absolutně nechápu.

25. 11. 2016 11:09:15

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239001

TomasX

(4 hodnocení)

25. 11. 2016 11:20:37

v první řadě si změň tu IP adresu 2.2.2.2 za svoji.

Máš tam typo, všimni si pomlček v "-–to-destination", ta druhá je spojovník (je lehce delší), přepiš si to ručně na klávesnici a nebudeš ovlivněný nějakými automatickými opravami, kdoví, jestli to tady webtrh neudělal.

---------- Příspěvek doplněn 25.11.2016 v 11:22 ----------

aha, koukám, že jsem ti to --to-destination napsal s jednou pomlčkou ty jsi tu druhou tam doplnil, sorry, jak píšu na mobilu, dělám hodně podobných chyb :(

25. 11. 2016 11:20:37

https://webtrh.cz/diskuse/jak-na-nat-v-debian-8#reply1239000

Pro odpověď se přihlašte.

Přihlásit