Не работает правило Firewall (iptables)

[hardcoreuk]

И так, есть шлюз на Zentyal (где eth0 внешний и eth1 внутрений), хочу пробросить 142 порт на сервак внутри сети.
Говоря русским языком

Code: [Select]

-A PREROUTING -d xx.xx.xx.xx -p tcp -m tcp --dport 142 -j DNAT --to-destination 192.168.231.42:142
Создал такое правило


Не работает собака!!!

[alphaed]

https://help.ubuntu.com/community/IptablesHowTo

Посмотри из консоли что у тебя делается в iptables.
sudo sh -c "iptables-save > /etc/iptables.rules" и смотри /etc/iptables.rules

[mravil]

И не заработает. Необходимо использовать Firewall -> Port Forwarding

[hardcoreuk]

Да да, я уже разобрался... тут все в порядке с пробросом.

Косяк в маршрутизации...
На старом шлюзе есть такой маршрут

Code: [Select]

ID Destination IP Address Subnet Mask      Default Gateway Status    Modify
1 10.231.0.0         255.255.255.0    192.168.231.42         Enabled   Modify Delete
Я сделал такой маршрут на Zentyal

Сеть        10.231.0.0/32 Gateway  192.168.231.42

В итоге был из сети 10.231.0.0/32 был виден только 192.168.231.42,
а сервер 192.168.231.250 и даже шлюз 192.168.231.1 не пинговался.
Я думаю теперь как маршрут прописать соответствующий.

10.231.0.0/32 это OpenVPN сеть, 192.168.231.42 выступает в качестве vpn сервера.

[mravil]

Получется, что OpenVPN поднят не на Zentyal, а на сервере за NAT? Для начала мапить порт 1194 сервера 192.168.231.42. В принцепе для OpenVPN этого достаточно, для GRE-туннеля необходимо подгрузить определенные модули в ядро.

PS: В OpenVPN нужно бы Advertised networks прописать, чтобы скрипт подключения сам прописывал маршруты на клиентских тачках.
PPS: А вообще бы схему сети увидеть, кофе у меня дешевый, по гуще не погадаешь )))

[hardcoreuk]

Заменил шлюз, поставил Zentyal, пробросил порты, прописал маршрут, но VpnClient видит только 10.231.0.1 и 192.168.231.42,
а 192.168.231.250 не видит!!!

Кстати 192.168.231.1 на генте)

[mravil]

Попробуй прописать маршрут от старого сервера в Zentyal. Network --> Static Routes.

[hardcoreuk]

он  так прописан на серваке.

Code: [Select]


srv hardcoreuk # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.231.1   0.0.0.0         UG    4      0        0 eth0
10.231.0.0      10.231.0.2      255.255.255.0   UG    0      0        0 tun0
10.231.0.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
192.168.231.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0


[mravil]

Code: [Select]

ID Destination IP Address Subnet Mask      Default Gateway Status    Modify
1 10.231.0.0         255.255.255.0    192.168.231.42         Enabled   Modify Delete

Этого правила у тебя же нет в таблице маршрутизации. Пропиши в  Network --> Static Routes. Посмотрим что получится

[hardcoreuk]

Code: [Select]

myserver@GW-MSK:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.231.0.0      192.168.231.42  255.255.255.255 UGH   0      0        0 eth1 Что то все равно. не пашет у людей...

[rubic]

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.231.0.0      192.168.231.42  255.255.255.255 UGH   0      0        0 eth1
А это, простите, как так?

[mravil]

Да вы, hardcoreuk, сам себе злобный буратино... Маска то действительно неверная, 255.255.255.0 для сети 192.168.231.0/24

[hardcoreuk]

Виноват...)

Code: [Select]

myserver@GW-MSK:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.231.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
xx.xx.xx.xx     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.231.0.0      192.168.231.42  255.255.255.0   UG    0      0        0 eth1
zaotpi@GW-MSK:~$

Собственно результат тот же.
Точнее,теперь vpnClient видит 192.168.231.1, но 192.168.231.250 нет.
Я еще раз распишу таблицу маршрутизации сервера.

Code: [Select]

hardcoreuk # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.231.1   0.0.0.0         UG    4      0        0 eth0
10.231.0.0      10.231.0.2      255.255.255.0   UG    0      0        0 tun0
10.231.0.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
192.168.231.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0


[mravil]

Что уж все сложней и сложней... Может проще поднять VPN на шлюзе и не париться?
Ладно, что было сделано?
1) Проброс порта 1194 c Zentyal на сервер 192.168.231.42;
2) Прописано правило в Packet Filter ▸ External networks to internal networks
Decision: Accept   
Source:    10.231.0.0/16
Destination:    192.168.231.0/24
Service:    Any
Description: OpenVPN
3) Статичный маршрут на Zentyal 10.231.0.0      192.168.231.42  255.255.255.0     UG    0      0        0 eth1

[hardcoreuk]

К сожалению не проще.
Было бы проще так бы и сделал.
Все это временное решение. потом все клиенты будут соединены в единую сеть



Не работает. Как так, почему такой же маршрут на старой железе работает норм, а тут нет.