[Server] iptables + port forwarding + vpn ipsec
Inviato: martedì 27 marzo 2012, 10:10
Ciao a tutti, non riesco a venire a capo di questo problema:
Su un mio server ho un port forwarding(porta 80) già funzionante verso un altro pc dietro di esso(il server ha 2 ethernet in bridge,eth0 e eth1, il pc è collegato su eth0), adesso però ho installato sul server un client vpn ipsec, questo client mi crea un'interfaccia virtuale tap0 con ip assegnato dal gateway vpn, l'architettura quindi è come la seguente:
--- RETE 192.168.1.0/24 ---
|
--- GW VPN ----
*IP 2.2.2.2*
|
|
[INTERNET]
|
|
*PPP0 1.1.1.1*
--- SERVER ---
*BR0 10.0.0.1 + TAP0 192.168.2.38*
|\____
| \
*10.0.0.2* *RETE 10.0.0.0/24*
--- PC ---
Dalla rete 192.168.1.x riesco a raggiungere il SERVER tramite vpn sull'indirizzo 192.168.2.38 ma non il PC su 192.168.2.38:80, se provo a puntare da internet l'ip di PPP0 raggiungo correttamente sia il SERVER su 1.1.1.1 sia il PC su 1.1.1.1:80, se provo a puntare dalla rete 10.0.0.x l'ip di BR0 raggiungo comunque sia il SERVER su 10.0.0.1 sia il PC su 10.0.0.1:80
Avete qualche suggerimento da darmi?
Il mio iptables:
Su un mio server ho un port forwarding(porta 80) già funzionante verso un altro pc dietro di esso(il server ha 2 ethernet in bridge,eth0 e eth1, il pc è collegato su eth0), adesso però ho installato sul server un client vpn ipsec, questo client mi crea un'interfaccia virtuale tap0 con ip assegnato dal gateway vpn, l'architettura quindi è come la seguente:
--- RETE 192.168.1.0/24 ---
|
--- GW VPN ----
*IP 2.2.2.2*
|
|
[INTERNET]
|
|
*PPP0 1.1.1.1*
--- SERVER ---
*BR0 10.0.0.1 + TAP0 192.168.2.38*
|\____
| \
*10.0.0.2* *RETE 10.0.0.0/24*
--- PC ---
Dalla rete 192.168.1.x riesco a raggiungere il SERVER tramite vpn sull'indirizzo 192.168.2.38 ma non il PC su 192.168.2.38:80, se provo a puntare da internet l'ip di PPP0 raggiungo correttamente sia il SERVER su 1.1.1.1 sia il PC su 1.1.1.1:80, se provo a puntare dalla rete 10.0.0.x l'ip di BR0 raggiungo comunque sia il SERVER su 10.0.0.1 sia il PC su 10.0.0.1:80
Avete qualche suggerimento da darmi?
Il mio iptables:
Codice: Seleziona tutto
*filter
:INPUT DROP [113:16645]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
#
#
*nat
:PREROUTING ACCEPT [683:182341]
:POSTROUTING ACCEPT [298:68050]
:OUTPUT ACCEPT [147:9295]
-A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2
COMMIT
#
#
*mangle
:PREROUTING ACCEPT [73446:84206855]
:INPUT ACCEPT [34677:47173489]
:FORWARD ACCEPT [38769:37033366]
:OUTPUT ACCEPT [19988:1806151]
:POSTROUTING ACCEPT [56744:38483902]
COMMIT
Codice: Seleziona tutto
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.1.0 192.168.2.38 255.255.255.0 UG 0 0 0 tap0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0