daily pastebin goal
12%
SHARE
TWEET

Untitled

a guest Aug 13th, 2017 53 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Звоним через xl2tpd.
  2. Конфиги:
  3.  
  4. cat /etc/xl2tpd/xl2tpd.conf
  5. [global]
  6. access control = yes
  7.  
  8.  
  9. [lac akado]
  10. name = (тут пишем свой логин)
  11. lns = vpn.akado-ural.ru
  12. pppoptfile = /etc/ppp/peers/vpn
  13. ppp debug = yes
  14. autodial = yes
  15.  
  16. ---------------
  17.  
  18. cat /etc/ppp/peers/vpn
  19. remotename L2TP
  20. user "(снова логин)"
  21. password "(тут пишем свой пасс к VPN)"
  22. unit 0
  23. lock
  24. usepeerdns
  25. nodeflate
  26. nobsdcomp
  27. noauth
  28. persist
  29. nopcomp
  30. noaccomp
  31. defaultroute
  32. maxfail 10
  33. debug
  34. logfile /var/log/syslog
  35.  
  36. ----------------------
  37.  
  38. Этого должно быть достаточно, но работать пока ещё ничего не будет, нужно настроть route:
  39. route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
  40.  
  41. И добавить NAT:
  42.  
  43.  
  44. cat ./nat.sh
  45. #!/bin/sh
  46. iptables -F
  47. iptables -t nat -F
  48.  
  49.  
  50. route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
  51.  
  52.  
  53. #Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
  54.  iptables -P INPUT ACCEPT
  55.  iptables -P OUTPUT ACCEPT
  56.  iptables -P FORWARD DROP
  57.  
  58.  
  59. #Скопируйте и вставьте для примера...
  60.  export LAN=eth0
  61.  export WAN=eth1
  62.  export INET=ppp0
  63.  
  64.  
  65. #Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
  66.  iptables -I INPUT 1 -i ${LAN} -j ACCEPT
  67.  iptables -I INPUT 1 -i lo -j ACCEPT
  68.  iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
  69.  iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
  70.  
  71.  
  72. #(Необязательно) Разрешаем доступ к нашему ssh-серверу из интернета
  73. # iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
  74.  
  75.  
  76. #Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
  77.  iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
  78.  iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
  79.  
  80.  
  81. #В конце добавляем правила для NAT
  82.  iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
  83.  iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
  84.  iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
  85.  #iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
  86.  iptables -A FORWARD -i ${INET} -d 192.168.0.0/255.255.0.0 -j ACCEPT
  87.  iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
  88.  iptables -t nat -A POSTROUTING -o ${INET} -j MASQUERADE
  89.  
  90.  
  91. iptables -t nat -A PREROUTING -i ${WAN} -p tcp -m tcp --dport 3000 -j DNAT --to-destination 192.168.0.100:3000
  92. iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3000 -j ACCEPT
  93.  
  94.  
  95. iptables -t nat -A PREROUTING -i ${WAN} -p udp -m udp --dport 3001 -j DNAT --to-destination 192.168.0.100:3001
  96. iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3001 -j ACCEPT
  97.  
  98.  
  99.  
  100. #Сообщаем ядру, что ip-форвардинг разрешен
  101.  echo 1 > /proc/sys/net/ipv4/ip_forward
  102.  for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top