https://opennet.ru/openforum/vsluhforumID10/5050.html Доброго времени суток!<br><br>Есть компьютер под управлением Fedora 16 x86_64 (скоро перейду на 17). Дальше буду называть его клиент. Компьютер находится в локальной сети и доступ в интернет через прокси. Сетевой интерфейс eth0.<br>Есть сервер под управлением CentOS 5.3 x86_64. Дальше буду называть его сервер. Сервер находится у провайдера и имеет прямой доступ в интернет. Сетевой интерфейс eth0.<br><br>Необходимо ходить в интернет с клиента через сервер, а не через прокси в локальной сети. При всем при этом также не помешало бы ходить по ресурсам локальной сети.<br><br>На сервере развернут OpenVPN и с клиентом установлена связь через VPN. <br>IP сервера 10.8.0.1 интерфейс tun0.<br>IP клиента 10.8.0.4 интерфейс tun0.<br><br>На сервере настроил маскарадинг:<br>- добавил "net.ipv4.ip_forward = 1" и перезапустил сеть.<br>- настроил iptables, вот файл "/etc/sysconfig/iptables":<br>[code]# Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012<br>*nat<br>:PREROUTING ACCEPT [780:170741]<br>:POSTROUTING ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>- https://opennet.ru/openforum/vsluhforumID10/5050.html#8 Sun, 01 Jul 2012 10:03:14 GMT &gt; В общем разобрался, т.к. у меня OpenVPN настроен как tun, то я <br>&gt; должен был шлюзом указывать не 10.8.0.1, а 10.8.0.3 ip для ip <br>&gt; 10.8.0.4 и/или 10.8.0.5 для 10.8.0.6 соответственно :) <br>&gt; Всем огромное спасибо!!!<br><br>Мдя? И работает? если у сервера 10.8.0.1 то это и есть шлюз.<br>И если у Вас что-то не работало,покажите сначала вывод клманд<br><br>ping ya.ru<br>ping 87.250.251.3<br> https://opennet.ru/openforum/vsluhforumID10/5050.html#7 Fri, 29 Jun 2012 08:31:45 GMT В общем разобрался, т.к. у меня OpenVPN настроен как tun, то я должен был шлюзом указывать не 10.8.0.1, а 10.8.0.3 ip для ip 10.8.0.4 и/или 10.8.0.5 для 10.8.0.6 соответственно :)<br><br>Всем огромное спасибо!!!<br> https://opennet.ru/openforum/vsluhforumID10/5050.html#6 Thu, 28 Jun 2012 11:39:45 GMT Что-то ничего у меня не получается :( и куда копать не знаю. пакеты не ходят через удаленный сервер.<br>По шагам не мог бы кто-нибудь знающий написать что я должен сделать?<br>Заранее спасибо!<br> https://opennet.ru/openforum/vsluhforumID10/5050.html#5 Fri, 22 Jun 2012 12:57:03 GMT Спасибо большое! Теперь я спокоен. А если IP статический, то наверное лучше не маскарадинг а SNAT? Или я что-то путаю? Если лучше SNAT, то не подскажете как его прописать правильно?<br><br>&gt; Не могут, у в построутенге указана подсеть с которой только это правило <br>&gt; будет работать <br>&gt; в форварде тоже лучше указать только свои сети. https://opennet.ru/openforum/vsluhforumID10/5050.html#4 Fri, 22 Jun 2012 12:54:55 GMT &gt;&gt; А зачем на сервере форвард отключили, если хотите чтобы через него клиент <br>&gt;&gt; в сеть ходил <br>&gt; Вот тут я и запутался, для этого и выложил содержимое iptables, чтобы <br>&gt; было видно где я ошибся и подсказали.<br>&gt; И еще одна вещь мне не понятна и скажем так пугает меня: <br>&gt; еогда я прописываю маскарадинг на интерфейс(е) eth0 не смогул ли злоумышленники, <br>&gt; знающие мой статический IP в сети интернет воспользоваться моим сервером как <br>&gt; шлюзом и сидеть через него в интернете (аля анонимный прокси)?<br><br>Не могут, у в построутенге указана подсеть с которой только это правило будет работать<br>в форварде тоже лучше указать только свои сети.<br><br># Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012<br>*nat<br>:PREROUTING ACCEPT [780:170741]<br>:POSTROUTING ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br>COMMIT<br># Completed on Wed Jun 20 15:25:22 2012<br># Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012<br>*filter<br>:INPUT ACCEPT [0:0]<br>:FORWARD DROP [0:0]<br>:OUTPUT https://opennet.ru/openforum/vsluhforumID10/5050.html#3 Fri, 22 Jun 2012 12:41:55 GMT &gt; А зачем на сервере форвард отключили, если хотите чтобы через него клиент <br>&gt; в сеть ходил <br><br>Вот тут я и запутался, для этого и выложил содержимое iptables, чтобы было видно где я ошибся и подсказали.<br>И еще одна вещь мне не понятна и скажем так пугает меня: еогда я прописываю маскарадинг на интерфейс(е) eth0 не смогул ли злоумышленники, знающие мой статический IP в сети интернет воспользоваться моим сервером как шлюзом и сидеть через него в интернете (аля анонимный прокси)?<br> https://opennet.ru/openforum/vsluhforumID10/5050.html#2 Fri, 22 Jun 2012 11:38:00 GMT &gt;&gt;- добавил "net.ipv4.ip_forward = 1" и перезапустил сеть.<br><br>нужно не перезапустиь сеть, а перечитать /etc/sysctl.conf<br><br> https://opennet.ru/openforum/vsluhforumID10/5050.html#1 Fri, 22 Jun 2012 11:35:39 GMT &gt;[оверквотинг удален]<br>&gt; -A INPUT -p icmp -j ACCEPT <br>&gt; -A INPUT -i lo -j ACCEPT <br>&gt; -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 <br>&gt; -j ACCEPT <br>&gt; -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br>&gt; -A INPUT -p udp -m udp --dport 1194 -j ACCEPT <br>&gt; -A INPUT -p udp -m udp --sport 1194 -j ACCEPT <br>&gt; -A INPUT -j REJECT --reject-with icmp-host-prohibited <br>&gt; -A FORWARD -j REJECT --reject-with icmp-host-prohibited <br>&gt; COMMIT <br><br>А зачем на сервере форвард отключили, если хотите чтобы через него клиент в сеть ходил<br>