Так уж и быть распишу для 2х машин...
Команды для работы с редактором nano...это справка
Код: Выделить всё
Ctrl+O потом Enter Сохранение изменений
Ctrl+X потом Enter Выход из редактора
ВАЖНО! Перед этими настройками проконтролируй,что в FORWARD у тебя нет правил и политика по умолчанию ACCEPT.
Найди строку и приведи её к виду
Далее примени изменения.
Теперь, поскольку у тебя внутри сети скорее всего динамика включим маскарад. Эта функция подменит IP внутренней сети адресом внешнего интерфейса и развернет назад,когда придет ответ. В "простонародии" эта технология зовется NAT.
Имей ввиду следующее, что включение подобного позволит ЛЮБОМУ пользователю твоей сети бегать в интернет без прокси. Это неправильно,но так надо на данном этапе. Дальнейшими настройками отсекаем всю сеть,кроме тех кого мы хотим выпустить подобным образом наружу.
eth0 внешка
eth1 внутренний интерфейс
Код: Выделить всё
Для начала разрешаем пинг через форвард. Это нужно,когда если будет сбоить прокси, да и не только он, можно было проверить наличие доступа наружу с любой машины внутренней сети.
iptables -I FORWARD 1 -i eth1 -o eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec --limit-burst 6 -m length --length 0:90 -j ACCEPT
sudo iptables -I FORWARD 2 -i eth1 -o eth0 -p udp -m comment --comment <тут впишешь комментарий> -m udp --dport 55777 -m mac --mac-source <тут мак машины внутри сети,котрую надо выпустить> -j ACCEPT
sudo iptables -I FORWARD 3 -d <тут IP локального компьютера mac которого указали выше>/32 -i eth0 -o eth1 -p udp -m comment --comment <опять же комментарий> -m udp --sport 55777 --dport 55777 -j ACCEPT
sudo iptables -I FORWARD 4 -i eth1 -o eth0 -p udp -m comment --comment <тут впишешь 2 комментарий> -m udp --dport 55777 -m mac --mac-source <тут мак машины 2 внутри сети,котрую надо выпустить> -j ACCEPT
sudo iptables -I FORWARD 5 -d <тут IP 2 локального компьютера mac которого указали выше>/32 -i eth0 -o eth1 -p udp -m comment --comment <опять же 2 комментарий> -m udp --sport 55777 --dport 55779 -j ACCEPT
Разрешим ответам на наш пинг так же возвращаться.
sudo iptables -I FORWARD 6 -i eth0 -o eth1 -p icmp -m icmp -m conntrack --ctstate ESTABLISHED -j ACCEPT
Теперь включим для форварда запрещающую политику по умолчанию. После её включения никто из пользователей внутренней сети,кроме явно указанных нами не смогут подобным образом попасть в сеть наружу.
Все. Доступ наружу обеспечен. Теперь ты можешь его проверить.
Во первых проверь как работает NAT. В своей системе отключи настройко описывающую прокси и попробуй пинг какого нибудь интернет ресурса. Он должен быть. Если есть проверь возможность соединения с удаленным сервером.
Если нет ошибок соединения, то все получилось.
Теперь в настройках VipNET сделай так,чтобы он не знал про прокси. Он по умолчанию стукнется на шлюз,коим у тебя и выступает linux. И на второй машине в тех же настройках укажи порт клиента 55779.
Подключай тоннели.
Далее имей ввиду,что тебе необходимо сохранить правила иначе при перезагрузке все будет сброшено по умолчанию.
Теперь надо заставить этот набор правил загружаться после того,как поднялся интерфейс. Я уж не знаю в динамике интерфейсы у тебя или в статике,но есть общий способ. В убунту есть фаил из которого загружается все скрипты и комманды,которые там прописаны.
Туда до exit вписываешь следующее
Код: Выделить всё
# start forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
##ipv4 filter apply
iptables-restore /root/iptables.save
Делаешь перезапуск системы и проверяешь наличие введённых тобой правил коммандой
Если они там есть, и клиенты соединяются с сервером, значит все готово.
З.Ы А по VipNET никаких затыков с лицензиями или ещё чем нибудь нет? Надеюсь нет и проблема именно в соединении. Кстати если проблема останется, теперь уже ничто не блокирует твои тоннели. Для техподдержки...
Дерзай. Тут более чем.
