Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Звоним через xl2tpd.
- Конфиги:
- cat /etc/xl2tpd/xl2tpd.conf
- [global]
- access control = yes
- [lac akado]
- name = (тут пишем свой логин)
- lns = vpn.akado-ural.ru
- pppoptfile = /etc/ppp/peers/vpn
- ppp debug = yes
- autodial = yes
- ---------------
- cat /etc/ppp/peers/vpn
- remotename L2TP
- user "(снова логин)"
- password "(тут пишем свой пасс к VPN)"
- unit 0
- lock
- usepeerdns
- nodeflate
- nobsdcomp
- noauth
- persist
- nopcomp
- noaccomp
- defaultroute
- maxfail 10
- debug
- logfile /var/log/syslog
- ----------------------
- Этого должно быть достаточно, но работать пока ещё ничего не будет, нужно настроть route:
- route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
- И добавить NAT:
- cat ./nat.sh
- #!/bin/sh
- iptables -F
- iptables -t nat -F
- route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
- #Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
- iptables -P INPUT ACCEPT
- iptables -P OUTPUT ACCEPT
- iptables -P FORWARD DROP
- #Скопируйте и вставьте для примера...
- export LAN=eth0
- export WAN=eth1
- export INET=ppp0
- #Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
- iptables -I INPUT 1 -i ${LAN} -j ACCEPT
- iptables -I INPUT 1 -i lo -j ACCEPT
- iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
- iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
- #(Необязательно) Разрешаем доступ к нашему ssh-серверу из интернета
- # iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
- #Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
- iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
- iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
- #В конце добавляем правила для NAT
- iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
- iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
- iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
- #iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
- iptables -A FORWARD -i ${INET} -d 192.168.0.0/255.255.0.0 -j ACCEPT
- iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
- iptables -t nat -A POSTROUTING -o ${INET} -j MASQUERADE
- iptables -t nat -A PREROUTING -i ${WAN} -p tcp -m tcp --dport 3000 -j DNAT --to-destination 192.168.0.100:3000
- iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3000 -j ACCEPT
- iptables -t nat -A PREROUTING -i ${WAN} -p udp -m udp --dport 3001 -j DNAT --to-destination 192.168.0.100:3001
- iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3001 -j ACCEPT
- #Сообщаем ядру, что ip-форвардинг разрешен
- echo 1 > /proc/sys/net/ipv4/ip_forward
- for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement