SHARE
TWEET

Untitled

a guest Aug 13th, 2017 49 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Звоним через xl2tpd.
  2. Конфиги:
  3.  
  4. cat /etc/xl2tpd/xl2tpd.conf
  5. [global]
  6. access control = yes
  7.  
  8.  
  9. [lac akado]
  10. name = (тут пишем свой логин)
  11. lns = vpn.akado-ural.ru
  12. pppoptfile = /etc/ppp/peers/vpn
  13. ppp debug = yes
  14. autodial = yes
  15.  
  16. ---------------
  17.  
  18. cat /etc/ppp/peers/vpn
  19. remotename L2TP
  20. user "(снова логин)"
  21. password "(тут пишем свой пасс к VPN)"
  22. unit 0
  23. lock
  24. usepeerdns
  25. nodeflate
  26. nobsdcomp
  27. noauth
  28. persist
  29. nopcomp
  30. noaccomp
  31. defaultroute
  32. maxfail 10
  33. debug
  34. logfile /var/log/syslog
  35.  
  36. ----------------------
  37.  
  38. Этого должно быть достаточно, но работать пока ещё ничего не будет, нужно настроть route:
  39. route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
  40.  
  41. И добавить NAT:
  42.  
  43.  
  44. cat ./nat.sh
  45. #!/bin/sh
  46. iptables -F
  47. iptables -t nat -F
  48.  
  49.  
  50. route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
  51.  
  52.  
  53. #Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
  54.  iptables -P INPUT ACCEPT
  55.  iptables -P OUTPUT ACCEPT
  56.  iptables -P FORWARD DROP
  57.  
  58.  
  59. #Скопируйте и вставьте для примера...
  60.  export LAN=eth0
  61.  export WAN=eth1
  62.  export INET=ppp0
  63.  
  64.  
  65. #Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
  66.  iptables -I INPUT 1 -i ${LAN} -j ACCEPT
  67.  iptables -I INPUT 1 -i lo -j ACCEPT
  68.  iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
  69.  iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
  70.  
  71.  
  72. #(Необязательно) Разрешаем доступ к нашему ssh-серверу из интернета
  73. # iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
  74.  
  75.  
  76. #Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
  77.  iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
  78.  iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
  79.  
  80.  
  81. #В конце добавляем правила для NAT
  82.  iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
  83.  iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
  84.  iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
  85.  #iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
  86.  iptables -A FORWARD -i ${INET} -d 192.168.0.0/255.255.0.0 -j ACCEPT
  87.  iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
  88.  iptables -t nat -A POSTROUTING -o ${INET} -j MASQUERADE
  89.  
  90.  
  91. iptables -t nat -A PREROUTING -i ${WAN} -p tcp -m tcp --dport 3000 -j DNAT --to-destination 192.168.0.100:3000
  92. iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3000 -j ACCEPT
  93.  
  94.  
  95. iptables -t nat -A PREROUTING -i ${WAN} -p udp -m udp --dport 3001 -j DNAT --to-destination 192.168.0.100:3001
  96. iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3001 -j ACCEPT
  97.  
  98.  
  99.  
  100. #Сообщаем ядру, что ip-форвардинг разрешен
  101.  echo 1 > /proc/sys/net/ipv4/ip_forward
  102.  for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
RAW Paste Data
Top