Konfiguracja serwerów, usług, itp.
mihau9999
Posty: 7 Rejestracja: 19 grudnia 2011, 17:01
Post
autor: mihau9999 19 grudnia 2011, 17:06
Witam.
Zainstalowałem serwer PPTPD. Nie dodałem żadnych regułek do iptables. Gdy się połączę z serwerem, nie mam połączenia z Internetem.
Teraz moje pytanie, jak udostępnić połączenie Internetowe dla VPN oraz odblokować wszystkie porty (chcę
uruchomić serwer www, u siebie na komp
uterze poprzez VPN, oraz kilka innych serwerów gier).
Dane z:
Kod: Zaznacz cały
eth0 Link encap:Ethernet HWaddr 00:16:3E:B1:13:4D
inet addr:188.116.54.227 Bcast:188.116.54.255 Mask:255.255.255.0
inet6 addr: 2a02:ee0:2:ac11::7e8e:b506/64 Scope:Global
inet6 addr: fe80::216:3eff:feb1:134d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:233733 errors:0 dropped:0 overruns:0 frame:0
TX packets:17842 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:21522102 (20.5 MiB) TX bytes:8195917 (7.8 MiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
ppp0 Link encap:Point-to-Point Protocol
inet addr:172.16.36.1 P-t-P:172.16.36.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:5886 errors:0 dropped:0 overruns:0 frame:0
TX packets:8014 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:905258 (884.0 KiB) TX bytes:6039809 (5.7 MiB)
Yampress
Administrator
Posty: 6423 Rejestracja: 09 sierpnia 2007, 21:41Lokalizacja: PL
Post
autor: Yampress 19 grudnia 2011, 19:45
mihau9999
Posty: 7 Rejestracja: 19 grudnia 2011, 17:01
Post
autor: mihau9999 19 grudnia 2011, 21:02
Utworzyłem taką regułkę:
Kod: Zaznacz cały
iptables -A FORWARD -s 172.16.36.0/24 -p tcp -m multiport --dport 7779 --syn -m state --state NEW -j ACCEPT
iptables -A INPUT -s 172.16.36.0/24 -p udp -m multiport --dport 7779 -m state --state NEW -j ACCEPT
Gdyż serwer pewnej gry MultiPlayer (konkretnie SA:MP) korzysta z portu 7779 UDP i TCP. Lecz nadal serwera nie widać w Internecie.
Jakieś inne propozycje?
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09Lokalizacja: Poznañ
Post
autor: Bastian 19 grudnia 2011, 21:21
Podaj schemat sieci tego serwera, bo z konfiguracji nie jest to do końca jasne. Przeczytałeś dokładnie ten artykuł o iptables? Co według Ciebie mają te 2 regułki robić?
Podaj jeszcze wynik
Yampress
Administrator
Posty: 6423 Rejestracja: 09 sierpnia 2007, 21:41Lokalizacja: PL
Post
autor: Yampress 19 grudnia 2011, 21:26
Czy serwer jest bezpośrednio podłączony do internetu? Czy jest po drodze jakieś urządzenia? Kto jest dostawcą internetu?
Dla tcp też powinna być opcja ,,INPUT''. Opcja ,,FORWARD'' to łancuch dla ruterów.
Kod: Zaznacz cały
iptables -A INPUT -s 172.16.36.0/24 -p tcp --dport 7779 -j ACCEPT
iptables -A INPUT -s 172.16.36.0/24 -p udp --dport 7779 -j ACCEPT
I tak, to nie jest kompletny firewall.
mihau9999
Posty: 7 Rejestracja: 19 grudnia 2011, 17:01
Post
autor: mihau9999 19 grudnia 2011, 22:22
Kod: Zaznacz cały
[root@vpn-host ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 172.16.36.0/24 anywhere tcp dpt:vstat
ACCEPT udp -- 172.16.36.0/24 anywhere udp dpt:vstat
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Serwer jest maszyną wirtualną (VPS) w Hitme.net.pl. Więc nie potrafię określić jego połączenia z Internetem.
A ja chcę odblokować porty UDP i TCP 7779 dla sieci VPN (serwer VPN ma IP 172.16.36.1, klienci otrzymują IP 172.16.36.2-24).
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09Lokalizacja: Poznañ
Post
autor: Bastian 19 grudnia 2011, 23:20
Przy takiej polityce to w ogóle jakiekolwiek reguły nie są Tobie potrzebne. Jeżeli serwera nie widać w (..no właśnie, w Internecie czy w Intranecie? Napisałeś, że chcesz go wystawić przez VPN) to błędu upatruj w konfiguracji tego serwera gry. Skonfiguruj go tak aby nasłuchiwał tylko po interfejsie VPN.
Pokaż:
Co to za implementacja VPN, że masz ją na interfejsie pppoe?
mihau9999
Posty: 7 Rejestracja: 19 grudnia 2011, 17:01
Post
autor: mihau9999 19 grudnia 2011, 23:56
Otóż wgrałem czystego Debiana Squeeze, wpisałem komendę:
Wszystko się zainstalowało poprawnie, dodałem użytkownika do logowania, łącze się z VPN, a ten nie ma połączenia z Internetem...
Kod: Zaznacz cały
root@vpn-host:~# netstat -lap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Prog
ram name
tcp 0 0 *:ssh *:* LISTEN 548/sshd
tcp 0 0 *:1723 *:* LISTEN 539/pptp
d
tcp 0 0 vpn-host:1723 user-46-113-245-2:55063 TIME_WAIT -
tcp 0 0 vpn-host:ssh user-46-113-245-2:55060 ESTABLISHED 629/sshd
: root@nott
tcp6 0 0 [::]:ssh [::]:* LISTEN 548/sshd
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 4 [ ] DGRAM 2603 514/rsyslogd /dev/log
unix 2 [ ] DGRAM 1770 158/udevd @/org/ker
nel/udev/udevd
unix 2 [ ] DGRAM 2748 571/login
unix 2 [ ] DGRAM 2627 539/pptpd
unix 3 [ ] DGRAM 1775 158/udevd
unix 3 [ ] DGRAM 1774 158/udevd
Teraz mam taką konfigurację w ifconfig:
Kod: Zaznacz cały
root@vpn-host:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3e:b1:13:4d
inet addr:188.116.54.227 Bcast:188.116.54.255 Mask:255.255.255.0
inet6 addr: 2a02:ee0:2:ac11::7e8e:b506/64 Scope:Global
inet6 addr: fe80::216:3eff:feb1:134d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:25818 errors:0 dropped:0 overruns:0 frame:0
TX packets:829 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1320474 (1.2 MiB) TX bytes:77252 (75.4 KiB)
Interrupt:9
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
A ten serwer gry ma być widoczny w Internecie.
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09Lokalizacja: Poznañ
Post
autor: Bastian 20 grudnia 2011, 19:57
mihau9999
Posty: 7 Rejestracja: 19 grudnia 2011, 17:01
Post
autor: mihau9999 20 grudnia 2011, 20:18
Kod: Zaznacz cały
vpn-host:~# netstat -lan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN
tcp 0 0 188.116.54.227:22 109.243.218.3:60430 ESTABLISHED
tcp 0 0 188.116.54.227:22 109.243.218.3:60429 ESTABLISHED
tcp 0 0 188.116.54.227:22 109.243.218.3:59653 ESTABLISHED
tcp 0 0 188.116.54.227:22 109.243.218.3:60182 ESTABLISHED
tcp6 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:7777 0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 4 [ ] DGRAM 3095 /dev/log
unix 2 [ ] DGRAM 1829 @/org/kernel/udev/udevd
unix 2 [ ] DGRAM 5379
unix 2 [ ] DGRAM 4658Kod: Zaznacz cały
vpn-host:~# ip route list
188.116.54.0/24 dev eth0 proto kernel scope link src 188.116.54.227
default via 188.116.54.1 dev eth0
