w❤
firewall-cmd --zone=external --add-interface=tun0
будь бы у тебя фаерволд, ты бы просто сделал это и клиенты уже были бы в интернете
Size: a a a
2021 February 09
Z
будь бы у тебя фаерволд, ты бы просто сделал это и клиенты уже были бы в интернете
спасибо тебе , разьяснил все четко! пусть у тебя все всегда получается
D
будь бы у тебя фаерволд, ты бы просто сделал это и клиенты уже были бы в интернете
а потом эта хрень падает, удаляя все правила, и все сервисы на * вылезают в мир..
EN
masqarade что дает непомню
короче надо чтоб впн сервер раздавал интернет подключенному гаджету по идее это одна или две строчки чего то ACCEPT input или output
короче надо чтоб впн сервер раздавал интернет подключенному гаджету по идее это одна или две строчки чего то ACCEPT input или output
маскарад делает сорс-нат
EN
честно не знаю как такое проверить , поставлено pritunl настройки таблицы iptables ассерт на http/s udp и порты вроде все должно работать . подключение к серверу происходит интернет не открывает юзеру. при выключении сервиса iptables все работает соответсвенно нормально . может у кого есть готовая таблица образец
я уверен, что у тебя сеть овпн дефолтная. типа 10.*
тут роутинг не поможет и нужен именно нат. и именно сорс-нат. в зависимости от настроек интерфейса сетевого на впн сервере (пппое или обычный эзернет) - надо делать маскарад или сорс-нат впн сети. клиентам впн либо дефолт роутом делать впн (весь трафик поедет через него). либо добавлять только нужные маршруты
тут роутинг не поможет и нужен именно нат. и именно сорс-нат. в зависимости от настроек интерфейса сетевого на впн сервере (пппое или обычный эзернет) - надо делать маскарад или сорс-нат впн сети. клиентам впн либо дефолт роутом делать впн (весь трафик поедет через него). либо добавлять только нужные маршруты
EN
ну если файрволлда сама магически делает нат для нужных пакетов - то пользуйтес этим. но я чет не верю в магию =)
w❤
а потом эта хрень падает, удаляя все правила, и все сервисы на * вылезают в мир..
С чего бы ему падать, интересно.
И если падает служба (не стопится), правила все равно остаются работать
И если падает служба (не стопится), правила все равно остаются работать
w❤
ну если файрволлда сама магически делает нат для нужных пакетов - то пользуйтес этим. но я чет не верю в магию =)
Она делает нат для тех интерфейсов, которые в зоне экстернал. Никакой магии, ты сам решаешь куда и какие будут натиться пакеты
EN
но в целом советую отказаться от iptables, потому что это сложно и непонятно. куда проще делаются вещи с firewalld
это как раз просто и понятно и без гамаков делаются всякие вещи сложнее открытия порта. особенно если уже есть опыт с иптаблесами =)
EN
Она делает нат для тех интерфейсов, которые в зоне экстернал. Никакой магии, ты сам решаешь куда и какие будут натиться пакеты
а можно кратко пример как это выглядит?
EN
типа ван в одной зоне. тун0 в экстернал. оно само понимает, что тун0 надо сорснатить в адрес ван интерфейса?
EN
я просто как раз только на уровне простейшем тыкал этот файрволлд. и когда надо че-то посложнее порта - приходилось уже рич-рулесы пилить. и там какие-то свои особенности с написанием их, хоть и похоже на иптаблес
w❤
типа ван в одной зоне. тун0 в экстернал. оно само понимает, что тун0 надо сорснатить в адрес ван интерфейса?
ты хочешь узнать как это будет выглядеть на шлюзе, чтоб интернет из, например, pppoe, выдать в опенвпн?
EN
ты хочешь узнать как это будет выглядеть на шлюзе, чтоб интернет из, например, pppoe, выдать в опенвпн?
не, если например просто на как на впс есть интерфейс с белым адресом
EN
без пппое или подобного
EN
т.е. получается есть ло, есть етх0, и есть тун0. к примеру
w❤
ну тогда достаточно просто добавить eth0 в зону external
firewall-cmd --add/change-interface=eth0 --zone=external (не забываем про --permanent если нужно.) add/change в зависимости от того, находится ли у тебя eth0 в текущий момент в какой-нибудь другой зонеw❤
то есть по-сути это
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE и iptables -P FORWARD ACCEPTw❤
дальше лимиты (куда, кто) через рич рузлы. да, возможно не самая удобная штука, но и не такая уж и ужасная. мануал хороший
EN
погоди, я не понял. выше надо было интерфейс овпн в экстернал добавить...