Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Come fare il portforwarding di un gateway vpn raspberry
Vai a 1, 2  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> Rete e Linux
Precedente :: Successivo  
Autore Messaggio
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 3:33 pm    Oggetto: Come fare il portforwarding di un gateway vpn raspberry Rispondi citando

Ho la necessita di fare il forward degli ingressi sulla porta 80 lato vpn (tun0) verso un server interno alla rete (192.168.1.250) raggiungibile mediante interfaccia eth0. Come modifico queste iptables?

Grazie a tutti

# Generated by iptables-save v1.4.21 on Sun May 1 14:26:26 2016
*filter
:INPUT ACCEPT [290:31586]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [110:8444]
-A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A OUTPUT -o tun0 -m comment --comment vpn -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m comment --comment icmp -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -o eth0 -m comment --comment lan -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 443 -m comment --comment openvpn -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m comment --comment ssh -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -m comment --comment ntp -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m comment --comment dns -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -m comment --comment dns -j ACCEPT
-A OUTPUT -o eth0 -j DROP
COMMIT
# Completed on Sun May 1 14:26:26 2016
# Generated by iptables-save v1.4.21 on Sun May 1 14:26:26 2016
*nat
:PREROUTING ACCEPT [44:5055]
:INPUT ACCEPT [41:4580]
:OUTPUT ACCEPT [55:5869]
:POSTROUTING ACCEPT [41:2931]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Sun May 1 14:26:26 2016
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 5:55 pm    Oggetto: Rispondi citando

Hai provato con qualcosa tipo
Codice:
iptables -t nat -A PREROUTING -p [tcp | udp] -i tun0 --dport 80 -j DNAT --to 192.168.1.x:80

?
ciao
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 7:44 pm    Oggetto: Rispondi citando

le mie prove sono state:

SET 1
sudo iptables -I FORWARD -i tun0 -p udp -d 192.168.1.250 --dport 80 -j ACCEPT
sudo iptables -I FORWARD -i tun0 -p tcp -d 192.168.1.250 --dport 80 -j ACCEPT
sudo iptables -t nat -I PREROUTING -i tun0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.250
sudo iptables -t nat -I PREROUTING -i tun0 -p udp --dport 80 -j DNAT --to-destination 192.168.1.250

SET2
sudo iptables -A FORWARD -i tun0 -o eth0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.250

SET3
sudo iptables -t nat -A POSTROUTING --out-interface eth0 -j MASQUERADE
sudo iptables -A FORWARD --in-interface tun0 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp -i tun0 -m tcp --dport 80 -j DNAT --to-destination 192.168.1.250:80

ho provato anche come mi hai suggerito ma questo č il risultato...

xxx.xxx.xxx.xxx ha impiegato troppo tempo a rispondere.
ERR_CONNECTION_TIMED_OUT
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 8:47 pm    Oggetto: Rispondi citando

Scusa, sono stato poco chiaro .... intendevo tcp o udp .... il server 192.168.1.250 č in ascolto sulla tcp 80 ?
Se dai un
Codice:
iptables -nvL

Qual'č l'output corrente ?
ciao
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 8:53 pm    Oggetto: Rispondi citando

Il web server é praticamente un interfaccia web di una telecamera. Vorrei che fosse raggiungibile tramite vpn. Grazie per la tua cortesia e pazienza anticipatamente,.. Quindi é in ascolto sulla 80

Dovo che inserisco una nuova iptables devo dare
Code:
iptables -t nat -nvL
??

Ti mando subito l output del comando
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 8:56 pm    Oggetto: Rispondi citando

Da SSH, ma solo (e direttamente)
iptables -nvL
per vedere la situazione attuale .....
ciao
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 9:00 pm    Oggetto: Rispondi citando

Domandona.... chi č il default gateway della telecamera e del pi ? C'č un router, o tutto il traffico passa dal pi ?
Perchč, se il pi lo usi solo come vpn-endpoint, la telecamera poi tenta di rispondere tramite il suo def-gw, in questo caso, o natti i pacchetti destinati alla telecamera con l'ip della eth0 , o fai una statica sul main router....


L'ultima modifica di redfive il Dom Mag 01, 2016 9:03 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:01 pm    Oggetto: Rispondi citando

Chain INPUT (policy ACCEPT 69952 packets, 58M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 396 packets, 109K bytes)
pkts bytes target prot opt in out source destination
54736 51M ACCEPT all -- tun0 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
46798 25M ACCEPT all -- eth0 tun0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 38 packets, 3107 bytes)
pkts bytes target prot opt in out source destination
727 64241 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0 /* vpn */
20 2336 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 /* icmp */
1945 206K ACCEPT all -- * eth0 0.0.0.0/0 192.168.1.0/ 24 /* lan */
49110 28M ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:443 /* openvpn */
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:22 /* ssh */
24 1824 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:123 /* ntp */
4 268 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* dns */
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* dns */
168 8976 DROP all -- * eth0 0.0.0.0/0 0.0.0.0/0
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:06 pm    Oggetto: Rispondi citando

Hai un messaggio privato.

La telecamera č collegata al router 192.168.1.1 a cui č collegato lo stesso raspberry!
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 9:07 pm    Oggetto: Rispondi citando

e
iptables -t nat -nvL
??
Usa il taso 'code' prima di inserire l'output (e dopo usalo ancora alla fine, dopo aver incollato il risultato) , risulta piu' comprensibile da leggere
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:08 pm    Oggetto: Rispondi citando

redfive ha scritto:
Domandona.... chi č il default gateway della telecamera e del pi ? C'č un router, o tutto il traffico passa dal pi ?
Perchč, se il pi lo usi solo come vpn-endpoint, la telecamera poi tenta di rispondere tramite il suo def-gw, in questo caso, o natti i pacchetti destinati alla telecamera con l'ip della eth0 , o fai una statica sul main router....


si ce il router di mezzo ed il rapberry fa da vpn gateway. se voglio uscire con la vpn uso come gateway il raspberry altrimenti vado di router classico
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:09 pm    Oggetto: Rispondi citando

Codice:
Chain PREROUTING (policy ACCEPT 3339 packets, 534K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:192.168.1.250:80
    0     0 DNAT       udp  --  tun0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:80 to:192.168.1.250:80

Chain INPUT (policy ACCEPT 2563 packets, 345K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 481 packets, 30293 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 270 packets, 17408 bytes)
 pkts bytes target     prot opt in     out     source               destination
 2100  392K MASQUERADE  all  --  *      tun0    0.0.0.0/0            0.0.0.0/0 
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:11 pm    Oggetto: Rispondi citando

preferisco il nat dei pacchetti destinati alla telecamera con l'ip della eth0... invece della static route sul gateway.. ma non ci riesco proprio!
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 9:11 pm    Oggetto: Rispondi citando

Ok, hai anche tu un pvt ... Wink
Potresti ripostare l'output di iptables -nvL in codice ?
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:13 pm    Oggetto: Rispondi citando

Codice:
Chain OUTPUT (policy ACCEPT 40 packets, 3251 bytes)
 pkts bytes target     prot opt in     out     source               destination
  788 70347 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0            /* vpn */
   22  2548 ACCEPT     icmp --  *      eth0    0.0.0.0/0            0.0.0.0/0            /* icmp */
 4752  502K ACCEPT     all  --  *      eth0    0.0.0.0/0            192.168.1.0/24       /* lan */
50507   29M ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:443 /* openvpn */
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp spt:22 /* ssh */
   24  1824 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:123 /* ntp */
    4   268 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:53 /* dns */
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:53 /* dns */
  174  9216 DROP       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0   
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 9:13 pm    Oggetto: Rispondi citando

iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.250 -j MASQUERADE
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 9:15 pm    Oggetto: Rispondi citando

Intendevo l'output di
iptables -nvL
ma vą bene anche
iptables -nvL FORWARD
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:16 pm    Oggetto: Rispondi citando

redfive ha scritto:
Intendevo l'output di
iptables -nvL
ma vą bene anche
iptables -nvL FORWARD


Codice:
Chain OUTPUT (policy ACCEPT 40 packets, 3251 bytes)
 pkts bytes target     prot opt in     out     source               destination
  810 72613 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0            /* vpn */
   22  2548 ACCEPT     icmp --  *      eth0    0.0.0.0/0            0.0.0.0/0            /* icmp */
 5968  631K ACCEPT     all  --  *      eth0    0.0.0.0/0            192.168.1.0/24       /* lan */
50848   29M ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:443 /* openvpn */
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp spt:22 /* ssh */
   24  1824 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:123 /* ntp */
    4   268 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:53 /* dns */
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:53 /* dns */
  176  9296 DROP       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0   
Top
Profilo Invia messaggio privato
hackmaster



Registrato: 01/05/16 15:31
Messaggi: 23

MessaggioInviato: Dom Mag 01, 2016 9:17 pm    Oggetto: Rispondi citando

Ho gią dato il comando ultimo
Codice:
 sudo iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.250 -j MASQUERADE
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mag 01, 2016 9:19 pm    Oggetto: Rispondi citando

Mmmm , intendo l'output del comando, come hai fatto sopra (con input, forward ed output), non la chain di OUTPUT
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Rete e Linux Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it