iStitch07 Posted July 18, 2018 Share Posted July 18, 2018 Гуру iptables и сетевых стеков, нужна ваша помощь :) Настроил у себя в домашней сети маршрутизацию выборочных запросов через тор и это вот все. В локалке все работает как надо и хорошо. Но был сильно удивлен, когда решил проверить как это работает когда я подключаюсь к себе по VPN (IPSec, встроенный) и обнаружил что это не работает никак. А еще сильнее был удивлен, когда узнал что для клиентов IPSec нет своего сетевого интерфейса. Если бы он был, вопросов бы не было наверное, добавил бы новое правило прероутинга для интерфейса и все, наподобие уже работающих для локалки: iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 Но поскольку его нет, решил добавить правило для сети в которую попадает мое устройство подключенное по IPSec (172.20.0.0/25): iptables -t nat -I PREROUTING -p tcp -s 172.20.0.0/25 -m set --match-set rublock dst -j REDIRECT --to-ports 9040 Не сработало: счетчик пакетов и байтов нулевой, мой внешний адрес для сайтов не подменяется, значит я по прежнему хожу через обычный нат Подскажите какие (какое правило) и куда нужно прописать, что бы IPSecовский клиент тоже мог наслаждаться всеми плюшками того что есть в локалке? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 23, 2018 Share Posted July 23, 2018 Virtual IP является устаревшей технологией. Переходите на L2TP/IPsec, там интерфейсы есть. 1 Quote Link to comment Share on other sites More sharing options...
iStitch07 Posted July 23, 2018 Author Share Posted July 23, 2018 1 час назад, Le ecureuil сказал: Virtual IP является устаревшей технологией. Переходите на L2TP/IPsec, там интерфейсы есть. С ним у меня вообще ничего не работает: на интерфейсе l2tp вижу только исходящие dns запросы на 192.168.1.1, но нет ответов Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 24, 2018 Share Posted July 24, 2018 13 часа назад, iStitch07 сказал: С ним у меня вообще ничего не работает: на интерфейсе l2tp вижу только исходящие dns запросы на 192.168.1.1, но нет ответов А что у вас за клиент и какая версия прошивки? Quote Link to comment Share on other sites More sharing options...
sap Posted June 20, 2020 Share Posted June 20, 2020 Добрый день! Чтобы не создавать новую тему, напишу здесь. Есть старый белый zyxel keenetic giga (прошивка v2.04(USD.8)C7); задача в том, чтобы у отдельных устройств были другие днс сервера с возможностью фильтрации рекламы и т.п. Установил dnsmasq, отключил ppe и fastnat, создал файл /opt/etc/ndm/netfilter.d/010-intercept-dns.sh : #!/bin/sh [ "$table" != "nat" ] && exit 0 iptables -t nat -I PREROUTING -p udp -m udp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 192.168.1.1:8053 iptables -t nat -I POSTROUTING -p udp -m udp -s 192.168.1.1 --sport 8053 -j SNAT --to-source 1.1.1.1:53 Правила iptables срабатывают, запросы устройств с днс сервером 1.1.1.1 заворачиваются на dnsmasq, всё работает. Но у устройств с другим днс сервером возникают проблемы: в дампе траффика видно, что запросы днс уходят с разных портов, а ВСЕ ответы приходят на один и тот же случайный порт (например, порт 22345 или 34502). Может нужны другие правила iptables или еще какие-то? Или причина вообще не в iptables? Quote Link to comment Share on other sites More sharing options...
sap Posted June 27, 2020 Share Posted June 27, 2020 Сделал по-другому, с помощью команды ip static. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.