Frozen Fido : RU.LINUX : Re: ipchains

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Alex Grishanov                       2:5020/400     03 Oct 2002  09:32:35
 To : Peter V. Chernikoff
 Subject : Re: ipchains
 --------------------------------------------------------------------------------

 On Wed, 02 Oct 2002 23:37, Peter V. Chernikoff wrote:
 
 >Был сеpвеp под linux-2.2.19. Была на нем в частности такая констpукция:
 >ipchains -A forward -j MASQ -s 192.168.0.50 -d vpn.fake.ru
 >ipchains -A output -j ACCEPT -s 192.168.0.50 -d vpn.fake.ru
 >ipchains -A input -j ACCEPT -s vpn.fake.ru -d 192.168.0.50
 
   Брррр-р-р-рр.. Это как это?! Сначала значит все MASQ'арадится, а потом
   разрешаются на выход пакеты из внутренней сетки?! А потом еще хуже,
   разрешаются пакеты из-вне на некорректный для Internet'а адрес?!
   Hееее, так не пойдет. Еще и URL-ы вместо IP. Совсем не пойдет!
 
   ipchains -A forward -p tcp -s 192.168.0.50 -d <ip vpn> -i <ethX> -j MASQ
   ipchains -A forward -p 47 -s 192.168.0.50 -d <ip vpn> -i <ethX> -j MASQ
 
     - это собственно для работы самого VPN-канала, не забудь подставить
       в '-i <ethX>' название интерфейса, который глядит наружу, а вместо
       <ip vpn> - IP-адрес вашего vpn.fake.ru
 
   ipchains -A forward -d <ip vpn> -j REJECT
 
     - это что-бы кто попало в канал не лез, про <ip vpn> не забудь
 
   ipchains -A output -d <ip vpn> -i <ethX> -j ACCEPT
 
     - на всякий случай, вдруг у вас ':output REJECT' стоит, или еще что...
       подстановки тоже не забудь.
 
   ipmasqadm portfw -a -P tcp -L <ip ethX> 1723 -R 192.168.0.50 1723
   nohup ipfwd --masq 192.168.0.50 47 > /dev/null &
 
     - что-бы к тебе снаружи тоже могли подключиться, нужны две эти команды,
       ipfwd - отдельная программка, <ip ethX> - IP-адрес глядящего наружу
       интерфейса
 
   IPfwd можно скачать по адресу
     http://www.cag.lcs.mit.edu/~cananian/Projects/IPfwd/
 
 >Чего такого с этим ipchains наколбасили в 2.4.x? :-(
 
   Хммм, а там что-то колбасили? Hе знал.
 
 >И что за хитpости с пpобpоской pptp?
 
   Hестандартный протокол (не TCP). Вроде все. Кстати, в '/etc/protocols' его
   тоже надо бы прописать. У тебя он там есть?
 
 >С iptables связываться пока не хочется - это не единственное, что пpидется
 >пеpеписать.
 
   Как-раз с 'iptables' связываться - самое время. Раз не 2.4.x перешли...
 
 Алексей Гришанов aka Brait     [Sorry for my English]
 =====================================================
 [The Matrix has you.] [brait@mail.ru] [ICQ #:7314550]
 --- ifmail v.2.15dev5
  * Origin: Sorry for my English (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: ipchains	Alex Grishanov	03 Oct 2002 09:32:35

Архивное /ru.linux/208089f25cf2.html, оценка 3 из 5, голосов 10