Назад | Перейти на главную страницу

iptables routing - хост openVPN недоступен публично

у меня есть выделенный сервер openVPN, расположенный за маршрутизатором NAT, и у меня есть статический IP-адрес сервера, установленный в DMZ; проблема в том, что с текущим набором правил (как показано на скриншоте ниже) я не могу подключиться к VPN-серверу из Интернета, ни SSH в этом отношении; однако, если я разрешаю трафик на eth0, все в порядке, но это в значительной степени позволяет любому типу трафика достигать хоста, что полностью противоречит цели набора правил iptables; на скриншоте я установил трафик на eth0 (второе правило снизу вверх) на ничего, и хост недоступен с правилами, которые я наложил выше, но если я установил это правило, чтобы принять все, все в порядке, но, как я сказал, это побеждает цель всех правил выше

у хоста есть только один физический адаптер Ethernet (eth0) со статическим IP за NAT-маршрутизатором

я не могу понять, в чем проблема, и любая помощь будет очень признательна; если я нахожусь в сети за NAT, все в порядке и все политики работают, даже если для второго правила снизу вверх установлено значение Nothing (неактивно)

Спасибо!

http://imgur.com/a/YkZ0y

Экземпляры демона OpenVPN работают на портах 1194 и 1195. Демон SSH работает на порте 50.

вот файл конфигурации набора правил iptables, я обрезал все правила и оставил только порт 50 открытым для публики, но я все еще не могу получить к нему доступ

# Generated by iptables-save v1.3.8 on Mon Jan  2 14:46:33 2012
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jan  2 14:46:33 2012
# Generated by iptables-save v1.3.8 on Mon Jan  2 14:46:33 2012
*mangle
:PREROUTING ACCEPT [213:219554]
:INPUT ACCEPT [213:219554]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [155:35616]
:POSTROUTING ACCEPT [155:35616]
COMMIT
# Completed on Mon Jan  2 14:46:33 2012
# Generated by iptables-save v1.3.8 on Mon Jan  2 14:46:33 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p udp -m udp -i eth0 --sport 50 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --sport 50 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT
COMMIT
# Completed on Mon Jan  2 14:46:33 2012

РЕДАКТИРОВАТЬ:

действительно странно, SSH работает, как и веб-сервер на порту 10000, но я не могу подключиться к VPN-серверу, и набор правил тот же, что вы, ребята, предложили, но другой порт, т.е. 1194 и 1195, даже когда я разрешаю весь трафик проходить ...

я переключился на UDP, и теперь я могу подключаться публично, но клиент зависает при получении ответов сервера, поэтому в основном клиент может отправлять пакеты данных на сервер, но сервер не может выполнить обратный маршрут; openVPN находится за 2 маршрутизаторами NAT, первый маршрутизатор NAT обращен к Интернету, а второй маршрутизатор NAT имеет статический IP-адрес за первым, и он установлен в DMZ первого маршрутизатора, обращенного к Интернету, и у меня есть определенные порты, перенаправленные на второй маршрутизатор NAT, однако меня смущает то, что я могу обслуживать веб-страницы и могу использовать SSH в этой конфигурации, но не могу заставить openVPN работать должным образом ...

Я разместил связанный вопрос на форумах ubuntu, и пользователь ответил на мой вопрос, и все в порядке, но они, похоже, не претендуют на кредит здесь :( поэтому я возвращаюсь на форумы и отправляю ответ!

Я думаю, мне нужен был условный порт назначения, а не источник, путаница в терминологии :)

Если я правильно понимаю (что часто бывает не так), демон SSH прослушивает порт 50. Попробуйте изменить эту строку:

-A INPUT -p tcp -m tcp -i eth0 --sport 50 -j ACCEPT

к этому:

-A INPUT -p tcp -m tcp -i eth0 --dport 50 -j ACCEPT

http://ubuntuforums.org/showthread.php?t=1903479