Firewall CSF+openvpn porty i internet

[kaju007 0]

Witam

Nie mogę sobie poradzić z tym firewallem.

Mam taki schemat :

eth0 - ip zewnetrzne xx.xx

tun0 - vpn 10.9.0.1

Klient vpn dostaje adres 10.9.0.6

Potrzebuję przekierować port zew ip:8080 na 10.9.0.6:8080

Do tego jak jestem połączony vpn chcę mieć internet wychodząc przez Ip zew.

 

Do tej porty udało mi się albo przekierować port - działa

Jak dodam maskaradę żeby działał mi net to nic nie działa , ale jak wykasuję przekierowanie portu to działa internet.

Nie udaje mi się zrobić tak żeby dział internet wraz z przekierowanym portem.

Proszę jakieś rozwiązanie napisać albo nakierować bo już wszystko chyba sprawdziłem.

 

[Kashi66 2]

Kiedyś zakładałem temat ale tam miałem problem z LXC:

http://www.webhostingtalk.pl/topic/54707-lxc-konfiguracja-interfejsu-sieciowego/

Do tego tutaj jeszcze ktoś pomógł i ładnie rozpisał:

http://www.webhostingtalk.pl/topic/54845-przekierowanie-portow-na-vpskontener-lxc/

Na dole masz regułki do CSF może to ci pomoże

Edytowano Wrzesień 26, 2016 przez Kashi66 (zobacz historię edycji)

[kaju007 0]

Hej

No właśnie korzystałem też z tego i nie miałem nic albo coś źle robią.

Zaraz przetestuję.

Po wpisaniu tego

#iptables -t nat -F
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d ip zew --dport 8080 -j DNAT --to 10.9.0.6:8080
iptables -t nat -A POSTROUTING -o venet0:0 -d ip zew -j SNAT --to-source 10.9.0.6
iptables -A FORWARD -p tcp -s 10.9.0.6 --sport 8080 -j ACCEPT

# These are the forwards for bind/dns
iptables -t nat -A PREROUTING -p udp -s 0/0 -d ip zew --dport 53 -j DNAT --to 10.9.0.6:53
iptables -t nat -A POSTROUTING -o venet0:0 -d ip zew -j SNAT --to-source 10.9.0.6
iptables -A FORWARD -p udp -s 10.9.0.6 --sport 53 -j ACCEPT





iptables -t nat -A POSTROUTING -s 10.9.0.0/24 -o venet0:0 -j SNAT --to-source ip zew
#iptables -t nat -A POSTROUTING -o venet0:0 -j MASQUERADE

iptables -A FORWARD -i venet0:0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o venet0:0 -j ACCEPT

Po tym ani neta, ani portu nic nie działa.

 

 

Taka konfiguracja dopiero daje mi internet, ale nie działa przekierowanie portu.

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.9.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
#iptables -t nat -A POSTROUTING -s 10.9.0.0/24 -o venet0:0 -j MASQUERADE
iptables -t nat -A POSTROUTING -j SNAT --to-source ip zew

Edytowano Wrzesień 26, 2016 przez kaju007 (zobacz historię edycji)

[Kashi66 2]

Teraz pytanie gdzie to wpisujesz?

[kaju007 0]

W pliku csfpre.sh

[Pan Kot 1535]

Wszystkie customowe reguły powinny być aplikowane po tym jak CSF będzie zainicjalizowany, czyli w csfpost.sh.

[kaju007 0]

Nic nie pomaga. Mało tego mam na innym serwerze tak zrobione i działa ale nie mam csf więc go wyłączyłem i uruchomiłem skryp z drugiego serwera to odcięło mi dostęp do serwera zero netu i portu. Coś tu jest nie tak chyba z tym vps.

[Kashi66 2]

A masz ustawione w /etc/sysctl.conf opcje net.ipv4.ip_forward = 1?

[kaju007 0]

Oczywiście że mam.

[kaju007 0]

Tu problem chyba leży po stronie interfejsu że jest zamiast eth to venet0:0 innego pomysłu już nie mam bo na innym serwerze działają mi skrypty.