Так уж и быть распишу для 2х машин...
Команды для работы с редактором nano...это справка
Code: Select all
Ctrl+O потом Enter Сохранение изменений
Ctrl+X потом Enter Выход из редактора
ВАЖНО! Перед этими настройками проконтролируй,что в FORWARD у тебя нет правил и политика по умолчанию ACCEPT.
Найди строку и приведи её к виду
Далее примени изменения.
Теперь, поскольку у тебя внутри сети скорее всего динамика включим маскарад. Эта функция подменит IP внутренней сети адресом внешнего интерфейса и развернет назад,когда придет ответ. В "простонародии" эта технология зовется NAT.
Code: Select all
sudo iptables -A POSTROUTING -j MASQUERADE
Имей ввиду следующее, что включение подобного позволит ЛЮБОМУ пользователю твоей сети бегать в интернет без прокси. Это неправильно,но так надо на данном этапе. Дальнейшими настройками отсекаем всю сеть,кроме тех кого мы хотим выпустить подобным образом наружу.
eth0 внешка
eth1 внутренний интерфейс
Code: Select all
Для начала разрешаем пинг через форвард. Это нужно,когда если будет сбоить прокси, да и не только он, можно было проверить наличие доступа наружу с любой машины внутренней сети.
iptables -I FORWARD 1 -i eth1 -o eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec --limit-burst 6 -m length --length 0:90 -j ACCEPT
sudo iptables -I FORWARD 2 -i eth1 -o eth0 -p udp -m comment --comment <тут впишешь комментарий> -m udp --dport 55777 -m mac --mac-source <тут мак машины внутри сети,котрую надо выпустить> -j ACCEPT
sudo iptables -I FORWARD 3 -d <тут IP локального компьютера mac которого указали выше>/32 -i eth0 -o eth1 -p udp -m comment --comment <опять же комментарий> -m udp --sport 55777 --dport 55777 -j ACCEPT
sudo iptables -I FORWARD 4 -i eth1 -o eth0 -p udp -m comment --comment <тут впишешь 2 комментарий> -m udp --dport 55777 -m mac --mac-source <тут мак машины 2 внутри сети,котрую надо выпустить> -j ACCEPT
sudo iptables -I FORWARD 5 -d <тут IP 2 локального компьютера mac которого указали выше>/32 -i eth0 -o eth1 -p udp -m comment --comment <опять же 2 комментарий> -m udp --sport 55777 --dport 55779 -j ACCEPT
Разрешим ответам на наш пинг так же возвращаться.
sudo iptables -I FORWARD 6 -i eth0 -o eth1 -p icmp -m icmp -m conntrack --ctstate ESTABLISHED -j ACCEPT
Теперь включим для форварда запрещающую политику по умолчанию. После её включения никто из пользователей внутренней сети,кроме явно указанных нами не смогут подобным образом попасть в сеть наружу.
Все. Доступ наружу обеспечен. Теперь ты можешь его проверить.
Во первых проверь как работает NAT. В своей системе отключи настройко описывающую прокси и попробуй пинг какого нибудь интернет ресурса. Он должен быть. Если есть проверь возможность соединения с удаленным сервером.
Code: Select all
telnet <IP адрес удаленного сервера> 55777
Если нет ошибок соединения, то все получилось.
Теперь в настройках VipNET сделай так,чтобы он не знал про прокси. Он по умолчанию стукнется на шлюз,коим у тебя и выступает linux. И на второй машине в тех же настройках укажи порт клиента 55779.
Подключай тоннели.
Далее имей ввиду,что тебе необходимо сохранить правила иначе при перезагрузке все будет сброшено по умолчанию.
Code: Select all
sudo iptables-save >/root/iptables.save
Теперь надо заставить этот набор правил загружаться после того,как поднялся интерфейс. Я уж не знаю в динамике интерфейсы у тебя или в статике,но есть общий способ. В убунту есть фаил из которого загружается все скрипты и комманды,которые там прописаны.
Туда до exit вписываешь следующее
Code: Select all
# start forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
##ipv4 filter apply
iptables-restore /root/iptables.save
Делаешь перезапуск системы и проверяешь наличие введённых тобой правил коммандой
Если они там есть, и клиенты соединяются с сервером, значит все готово.
З.Ы А по VipNET никаких затыков с лицензиями или ещё чем нибудь нет? Надеюсь нет и проблема именно в соединении. Кстати если проблема останется, теперь уже ничто не блокирует твои тоннели. Для техподдержки...
Дерзай. Тут более чем.
