http://freesource.info/wiki/AfanasovDmitry/Сеть/FirewallДляТуннелей History/revisions of FreeSource/AfanasovDmitry/Сеть/FirewallДляТуннелей en-us http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-19+16%3A55%3A30 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a name=".afanasovdmitry.set_.firewalldljatunnelejj" href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+16%3A55%3A30">2005-08-19 16:55:30</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj">2006-08-23 15:42:14</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><span class="cite">Замечание</span> Если же&nbsp;<tt>pptp</tt> не&nbsp;проходит через NATbox, тогда спасает modprobe ip_nat_pptp</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-19+16%3A54%3A03 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+16%3A54%3A03">2005-08-19 16:54:03</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+16%3A55%3A30">2005-08-19 16:55:30</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">&laquo;ближний к&nbsp;себе&raquo; &ndash; любая машина доступная с&nbsp;соответствующего хоста. Если речь идет о&nbsp;локалхосте (моем или&nbsp;удаленном), то&nbsp;можно ставить 127.0.0.1. Я&nbsp;выбрал серые адреса для&nbsp;локальной и&nbsp;удаленной сетей специально в&nbsp;целях демонстрации &ndash; т.е. 192.168.1.1 рядом со&nbsp;мной и&nbsp;192.168.1.1 рядом с&nbsp;удаленной машиной это&nbsp;разные хосты. При&nbsp;-L речь идет о&nbsp;192.168.1.1 из&nbsp;удаленной сети, при&nbsp;-R &ndash; из&nbsp;локальной ко&nbsp;мне.</div><br /> <b>Удалено:</b><br /> <div class="deletions">&laquo;ближний к&nbsp;себе&raquo; &ndash; любая машина доступная с&nbsp;соответствующего хоста. Если речь идет о&nbsp;локалхосте (моем или&nbsp;удаленном), то&nbsp;можно ставить 127.0.0.1. Я&nbsp;выбрал серые адреса для&nbsp;локальной и&nbsp;удаленной сетей специально в&nbsp;целях демонстрации &ndash; т.е. 192.168.1.1 рядом со&nbsp;мной и&nbsp;192.168.1.1 рядом с&nbsp;удаленной машиной это&nbsp;разные хосты. При&nbsp;-L речь идет о&nbsp;192.168.1.1 находится в&nbsp;удаленной сети, при&nbsp;-R &ndash; в&nbsp;локальной.</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-19+15%3A12%3A44 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+15%3A12%3A44">2005-08-19 15:12:44</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+16%3A54%3A03">2005-08-19 16:54:03</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">&laquo;ближний к&nbsp;себе&raquo; &ndash; любая машина доступная с&nbsp;соответствующего хоста. Если речь идет о&nbsp;локалхосте (моем или&nbsp;удаленном), то&nbsp;можно ставить 127.0.0.1. Я&nbsp;выбрал серые адреса для&nbsp;локальной и&nbsp;удаленной сетей специально в&nbsp;целях демонстрации &ndash; т.е. 192.168.1.1 рядом со&nbsp;мной и&nbsp;192.168.1.1 рядом с&nbsp;удаленной машиной это&nbsp;разные хосты. При&nbsp;-L речь идет о&nbsp;192.168.1.1 находится в&nbsp;удаленной сети, при&nbsp;-R &ndash; в&nbsp;локальной.<br /> Решение для&nbsp;прохода по&nbsp;цепочке:<br /> сеть 192.168.1.*, в&nbsp;мир смотрит маршрутизатор имеющий внешний адрес xx.xx.xx.xx. В&nbsp;сети есть сервер 192.168.1.100, имеющий доступ к&nbsp;подсети 172.16.10.0, в&nbsp;которой есть машина 172.16.10.20 и&nbsp;веб-сервер 172.16.10.40. Я&nbsp;нахожусь снаружи:<br /> <!--notypo--><textarea class="code" rows="5" readonly="readonly">ssh -i gateway.key xx.xx.xx.xx -p 22 -g -L 50001:192.168.1.100:22 ssh -i server.key 127.0.2.1 -p 50001 -g -L 50002:172.16.10.20:22 ssh -i adminhost.key 127.0.3.1 -p 50002 -g -L 8080:172.16.10.40.1:80 elinks localhost:8080</textarea><!--/notypo--> <br /> откроется веб&nbsp;сервер 172.16.10.40, причем с&nbsp;точки зрения сервера, запрос исходит от&nbsp;.20.<br /> еще&nbsp;есть socks, который можно пробросить указанным способом, и&nbsp;уже в&nbsp;него заворачивать все&nbsp;что нужно</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-19+15%3A04%3A40 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+15%3A04%3A40">2005-08-19 15:04:40</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+15%3A12%3A44">2005-08-19 15:12:44</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">Все&nbsp;&laquo;но&raquo; по&nbsp;такому подключению я&nbsp;отмечу в&nbsp;<span class="missingpage">ОрганизацияТуннелей</span><a href="http://freesource.info/wiki/ОрганизацияТуннелей/edit?add=1&" title="Создать эту страницу">?</a>. А&nbsp;они есть &ndash; в&nbsp;<span class="missingpage">одном моём случае</span><a href="http://freesource.info/wiki/PppТуннельЧерезProxy/edit?add=1&" title="Создать эту страницу">?</a> он&nbsp;бы не&nbsp;прошёл :)</div><br /> <b>Удалено:</b><br /> <div class="deletions">Все&nbsp;&laquo;но&raquo; по&nbsp;такому подключению я&nbsp;отмечу в&nbsp;<span class="missingpage">Организация&nbsp;Туннелей</span><a href="http://freesource.info/wiki/ОрганизацияТуннелей/edit?add=1&" title="Создать эту страницу">?</a>. А&nbsp;они есть &ndash; в&nbsp;одном моём случае он&nbsp;бы не&nbsp;прошёл :)</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-19+14%3A56%3A26 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+14%3A56%3A26">2005-08-19 14:56:26</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+15%3A04%3A40">2005-08-19 15:04:40</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><a name="h1089-1"></a><h3> SSH&nbsp;port-forwarding </h3> <a name=".nickgrechukh" href="http://freesource.info/wiki/NickGrechukh&" class="" title="Nick&nbsp;Grechukh">Nick Grechukh</a>:<br /> Все&nbsp;&laquo;но&raquo; по&nbsp;такому подключению я&nbsp;отмечу в&nbsp;<span class="missingpage">Организация&nbsp;Туннелей</span><a href="http://freesource.info/wiki/ОрганизацияТуннелей/edit?add=1&" title="Создать эту страницу">?</a>. А&nbsp;они есть &ndash; в&nbsp;одном моём случае он&nbsp;бы не&nbsp;прошёл :)</div><br /> <b>Удалено:</b><br /> <div class="deletions">Все&nbsp;&laquo;но&raquo; по&nbsp;такому подключению я&nbsp;отмечу в&nbsp;<span class="missingpage">Организация&nbsp;Туннелей</span><a href="http://freesource.info/wiki/ОрганизацияТуннелей/edit?add=1&" title="Создать эту страницу">?</a>.</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-18+16%3A37%3A00 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-18+16%3A37%3A00">2005-08-18 16:37:00</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-19+14%3A56%3A26">2005-08-19 14:56:26</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><a name=".afanasovdmitry" href="http://freesource.info/wiki/AfanasovDmitry&" class="" title="Afanasov&nbsp;Dmitry">AfanasovDmitry</a> /19.08.2005 14:56/<br /> Блин, хоть подписались бы&nbsp;что ли&nbsp;:)<br /> port-forwarding я&nbsp;так и&nbsp;не использовал, поэтому как&nbsp;он&nbsp;работает знаю только в&nbsp;теории. Например что&nbsp;такое &laquo;ближний к&nbsp;себе 192.168.1.1&raquo; &ndash; это&nbsp;мой locahost, или&nbsp;может быть третьей машиной? И&nbsp;так как&nbsp;я&nbsp;с ним&nbsp;ещё не&nbsp;работал, я&nbsp;и не&nbsp;писал. Так&nbsp;что в&nbsp;любом случае спасибо за&nbsp;отметку :)<br /> Все&nbsp;&laquo;но&raquo; по&nbsp;такому подключению я&nbsp;отмечу в&nbsp;<span class="missingpage">Организация&nbsp;Туннелей</span><a href="http://freesource.info/wiki/ОрганизацияТуннелей/edit?add=1&" title="Создать эту страницу">?</a>.</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-18+16%3A33%3A21 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-18+16%3A33%3A21">2005-08-18 16:33:21</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-18+16%3A37%3A00">2005-08-18 16:37:00</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">ssh&nbsp;remote.host.org -g -R 8080:192.168.1.1:80 &ndash; демон ssh&nbsp;на&nbsp;*удаленном* хосте будет слушать порт 8080 и&nbsp;передавать пакеты *локальному для&nbsp;нас* ssh, который их&nbsp;отдаст *локальному* (ближнему к&nbsp;нам) 192.168.1.1 на&nbsp;порт 80. Ключ -g разрешает подключения с&nbsp;других машин (иначе порт доступен только с&nbsp;самой удаленной машины)<br /> ssh&nbsp;remote.host.org -g -L 8080:192.168.1.1:80 &ndash; *локальный* процесс ssh&nbsp;будет слушать локальный порт 8080, пакеты форвардить демону на&nbsp;remote.host, который их&nbsp;отдаст ближнему к&nbsp;себе 192.168.1.1 на&nbsp;порт 80.</div><br /> <b>Удалено:</b><br /> <div class="deletions">ssh&nbsp;remote.host.org -g -R 8080:192.168.1.1:80 &ndash; демон ssh&nbsp;на&nbsp;*удаленном* хосте будет слушать порт 60000 и&nbsp;передавать пакеты *локальному* для&nbsp;нас ssh, который их&nbsp;отдаст *локальному* (ближнему к&nbsp;нам) 192.168.1.1 на&nbsp;порт 80. Ключ -g разрешает подключения с&nbsp;других машин (иначе порт доступен только с&nbsp;самой удаленной машины)<br /> ssh&nbsp;remote.host.org -g -L 8080:192.168.1.1:80 &ndash; *локальный* процесс ssh&nbsp;будет слушать локальный порт 50000, пакеты форвардить демону на&nbsp;remote.host, который их&nbsp;отдаст ближнему к&nbsp;себе 192.168.1.1 на&nbsp;порт 80.</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-18+12%3A08%3A55 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-18+12%3A08%3A55">2005-08-18 12:08:55</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-18+16%3A33%3A21">2005-08-18 16:33:21</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">Ну&nbsp;тут просто: весь трафик болтается по&nbsp;ssh подключению. Так&nbsp;что если есть возможность залогинится на&nbsp;машину, то&nbsp;ничего больше открывать не&nbsp;надо.<br /> не&nbsp;обязательно использовать PPP, достаточно штатного port forwarding:<br /> ssh&nbsp;remote.host.org -g -R 8080:192.168.1.1:80 &ndash; демон ssh&nbsp;на&nbsp;*удаленном* хосте будет слушать порт 60000 и&nbsp;передавать пакеты *локальному* для&nbsp;нас ssh, который их&nbsp;отдаст *локальному* (ближнему к&nbsp;нам) 192.168.1.1 на&nbsp;порт 80. Ключ -g разрешает подключения с&nbsp;других машин (иначе порт доступен только с&nbsp;самой удаленной машины)<br /> ssh&nbsp;remote.host.org -g -L 8080:192.168.1.1:80 &ndash; *локальный* процесс ssh&nbsp;будет слушать локальный порт 50000, пакеты форвардить демону на&nbsp;remote.host, который их&nbsp;отдаст ближнему к&nbsp;себе 192.168.1.1 на&nbsp;порт 80.<br /> Перенаправление абсолютно прозрачно, в&nbsp;обоих случаях подкючение к&nbsp;tcp/8080 соответствующих хостов выглядит как&nbsp;обычный веб-сервер.<br /> Используя эту&nbsp;технологию можно например делать ssh-over-ssh &ndash; подключение по&nbsp;цепочке. Или&nbsp;пробросив порт 3128, использовать прокси. Все&nbsp;в&nbsp;ваших руках :)</div><br /> <b>Удалено:</b><br /> <div class="deletions">Ну&nbsp;тут просто: весь трафик болтается по&nbsp;ssh подключению. Так&nbsp;что если есть воможность залогинится на&nbsp;машину, то&nbsp;ничего больше открывать не&nbsp;надо.</div></div> http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj/show?time=2005-08-18+12%3A06%3A44 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj&" class="">/Afanasov&nbsp;Dmitry&nbsp;/&nbsp;Сеть&nbsp;/&nbsp;Firewall&nbsp;Для&nbsp;Туннелей</a> за <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-18+12%3A06%3A44">2005-08-18 12:06:44</a> и <a href="http://freesource.info/wiki/AfanasovDmitry/Set'/FirewallDljaTunnelejj?time=2005-08-18+12%3A08%3A55">2005-08-18 12:08:55</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">Для&nbsp;начала надо разрешить трафик между &lt;localip&gt; и&nbsp;&lt;peerip&gt;. Разрешать можно не&nbsp;всё, а&nbsp;только gre&nbsp;протокол (в /etc/protocols он&nbsp;за номером 47). А&nbsp;затем трафик по&nbsp;на интерфейсе &lt;tunnelname&gt;. Правила будут выглядеть примерно так:<br /> Кстати, <span class="cite">в FORWARD в&nbsp;endpoint'ах обрабатывать протокол gre&nbsp;<u>не надо</u></span> Трафик вида &lt;localip&gt; &lt;<br /> &gt; &lt;peerip&gt; будет приходить в&nbsp;только в&nbsp;INPUT.<br /> Как&nbsp;оказалось, <tt>pptpd</tt> аутентификацию и&nbsp;всё остальное проделывает по&nbsp;<tt>tcp</tt> протоколу: для&nbsp;этого и&nbsp;нужен 1723 порт. А&nbsp;вот сам&nbsp;трафик гуляет как&nbsp;<tt>ip_gre</tt>, только обрабатывает его&nbsp;не&nbsp;ядро, а&nbsp;<tt>pptpd</tt>. Так&nbsp;что обработка происходит точно также как&nbsp;и&nbsp;в случае <tt>ip_gre</tt>.<br /> <span class="cite">Замечание</span> вот&nbsp;уж&nbsp;не знаю как, но&nbsp;в случае с&nbsp;<tt>pptpd</tt> у&nbsp;меня трафик прекрасно проходил через NAT. С&nbsp;ip_gre туннелем такое не&nbsp;прокатит. А&nbsp;значит на&nbsp;NAT box'ах в&nbsp;FORWARD имеет смысл регулировать gre&nbsp;протокол.<br /> Ну&nbsp;тут просто: весь трафик болтается по&nbsp;ssh подключению. Так&nbsp;что если есть воможность залогинится на&nbsp;машину, то&nbsp;ничего больше открывать не&nbsp;надо.</div><br /> <b>Удалено:</b><br /> <div class="deletions">Для&nbsp;начала надо разрешить трафик между &lt;localip&gt; и&nbsp;&lt;peerip&gt;. Разрешать можно не&nbsp;всё, а&nbsp;только gre&nbsp;протокол (в /etc/protocols он&nbsp;за номером 47). А&nbsp;затем траифк по&nbsp;на интерфейсе &lt;tunnelname&gt;. Правила будут выглядеть примерно так:<br /> Кстати, <span class="cite">в FORWARD в&nbsp;endpoint'ах обрабатывать протокол gre&nbsp;<u>не надо</u></span> Трафик вида &lt;localip&gt; &lt;<br /> &gt; &lt;peerip&gt; будет приходить в&nbsp;толкьо в&nbsp;INPUT.<br /> Как&nbsp;оказалось, <tt>pptpd</tt> аутентификацию и&nbsp;всё остальное проделывает по&nbsp;<tt>tcp</tt> протоколу: для&nbsp;этого и&nbsp;нужен 1723 порт. А&nbsp;вот сам&nbsp;трафик гуляет как&nbsp;<tt>ip_gre</tt>, только обрабатывает его&nbsp;не&nbsp;ядро, а&nbsp;<tt>pptpd</tt>. Так&nbsp;что обработка происходти точно также как&nbsp;и&nbsp;в случае <tt>ip_gre</tt>.<br /> <span class="cite">Замечание</span> вот&nbsp;уж&nbsp;не знаю как, но&nbsp;в случае с&nbsp;<tt>pptpd</tt> у&nbsp;меня трафик прекрсно проходил через NAT. С&nbsp;ip_gre туннелем такое не&nbsp;прокатит. А&nbsp;значит на&nbsp;NAT box'ах в&nbsp;FORWARD имеет смысл регулировать gre&nbsp;протокол.<br /> Нну&nbsp;тут прост: весь трафик болтается по&nbsp;ssh подкюлючению. Так&nbsp;что если есть воможность залогинится на&nbsp;машину, то&nbsp;ничего больше открывать не&nbsp;надо.</div></div>