forum.opennet.ru

Составление сообщения

Исходное сообщение

"Настройка раздачи интернета через VPN без прокси"
Отправлено Zl0, 22-Июн-12 16:54

>> А зачем на сервере форвард отключили, если хотите чтобы через него клиент
>> в сеть ходил
> Вот тут я и запутался, для этого и выложил содержимое iptables, чтобы
> было видно где я ошибся и подсказали.
> И еще одна вещь мне не понятна и скажем так пугает меня:
> еогда я прописываю маскарадинг на интерфейс(е) eth0 не смогул ли злоумышленники,
> знающие мой статический IP в сети интернет воспользоваться моим сервером как
> шлюзом и сидеть через него в интернете (аля анонимный прокси)?
Не могут, у в построутенге указана подсеть с которой только это правило будет работать
в форварде тоже лучше указать только свои сети.
# Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012
*nat
:PREROUTING ACCEPT [780:170741]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Jun 20 15:25:22 2012
# Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [42026:9681910]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m udp --sport 1194 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -d 10.8.0.0/24 -j ACCEPT
COMMIT
# Completed on Wed Jun 20 15:25:22 2012

Исходное сообщение
"Настройка раздачи интернета через VPN без прокси" Отправлено Zl0, 22-Июн-12 16:54
>> А зачем на сервере форвард отключили, если хотите чтобы через него клиент >> в сеть ходил > Вот тут я и запутался, для этого и выложил содержимое iptables, чтобы > было видно где я ошибся и подсказали. > И еще одна вещь мне не понятна и скажем так пугает меня: > еогда я прописываю маскарадинг на интерфейс(е) eth0 не смогул ли злоумышленники, > знающие мой статический IP в сети интернет воспользоваться моим сервером как > шлюзом и сидеть через него в интернете (аля анонимный прокси)? Не могут, у в построутенге указана подсеть с которой только это правило будет работать в форварде тоже лучше указать только свои сети. # Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012 nat :PREROUTING ACCEPT [780:170741] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE COMMIT # Completed on Wed Jun 20 15:25:22 2012 # Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012 filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [42026:9681910] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p udp -m udp --dport 1194 -j ACCEPT -A INPUT -p udp -m udp --sport 1194 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -s 10.8.0.0/24 -j ACCEPT -A FORWARD -d 10.8.0.0/24 -j ACCEPT COMMIT # Completed on Wed Jun 20 15:25:22 2012

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>> А зачем на сервере форвард отключили, если хотите чтобы через него клиент 
>>> в сеть ходил 
>> Вот тут я и запутался, для этого и выложил содержимое iptables, чтобы 
>> было видно где я ошибся и подсказали.
>> И еще одна вещь мне не понятна и скажем так пугает меня: 
>> еогда я прописываю маскарадинг на интерфейс(е) eth0 не смогул ли злоумышленники, 
>> знающие мой статический IP в сети интернет воспользоваться моим сервером как 
>> шлюзом и сидеть через него в интернете (аля анонимный прокси)?

> Не могут, у в построутенге указана подсеть с которой только это правило 
> будет работать 
> в форварде тоже лучше указать только свои сети.

> # Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012 
> *nat 
> :PREROUTING ACCEPT [780:170741] 
> :POSTROUTING ACCEPT [0:0] 
> :OUTPUT ACCEPT [0:0] 
> -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 
> COMMIT 
> # Completed on Wed Jun 20 15:25:22 2012 
> # Generated by iptables-save v1.4.7 on Wed Jun 20 15:25:22 2012 
> *filter 
> :INPUT ACCEPT [0:0] 
> :FORWARD DROP [0:0] 
> :OUTPUT ACCEPT [42026:9681910] 
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
> -A INPUT -p icmp -j ACCEPT 
> -A INPUT -i lo -j ACCEPT 
> -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 
> -j ACCEPT 
> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
> -A INPUT -p udp -m udp --dport 1194 -j ACCEPT 
> -A INPUT -p udp -m udp --sport 1194 -j ACCEPT 
> -A INPUT -j REJECT --reject-with icmp-host-prohibited 
> -A FORWARD -s 10.8.0.0/24 -j ACCEPT 
> -A FORWARD -d 10.8.0.0/24 -j ACCEPT 
> COMMIT 
> # Completed on Wed Jun 20 15:25:22 2012

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру