Re: подземные стуки с openvpn за nat'ом.

To: debian-russian@lists.debian.org
Subject: Re: подземные стуки с openvpn за nat'ом.
From: Eugene Berdnikov <bd4@protva.ru>
Date: Tue, 24 Feb 2009 20:47:56 +0300
Message-id: <20090224174756.GA884@protva.ru>
In-reply-to: <49981CEE.4090107@gmail.com>
References: <49981CEE.4090107@gmail.com>

On Sun, Feb 15, 2009 at 04:47:26PM +0300, Vladimir Elizarov wrote:
> Есть openvpn-сервер, находится за nat'ом. К нему проброшенн порт udp 443  
> следующими правилами (по умолчанию для всех цепочек, кроме nat (ACCEPT),  
> политика DROP):
>
> iptables -A INPUT -p udp -m udp -d $WAN_IP -i $WAN_IF --dport 443 -j ACCEPT
> iptables -A FORWARD -i $WAN_IF -p udp -m udp --dport 443 -j ACCEPT
> iptables -t nat -A PREROUTING -p udp -m udp -i $LAN_IF --dport 443 -d  
> $WAN_IP -j DNAT --to-destination $OPENVPN:443
> iptables -t nat -A POSTROUTING -d $OPENVPN -o $LAN_IF -p udp -m udp  
> --dport 443 -j SNAT --to-source $LAN_IP:443

 Ну и как контрак может отличить разные "коннекции" со стороны LANа,
 если они должны маппиться в одну :443 -> :443? Очевидно, никак. :-)
 Работать это может лишь для одного клиента, остальные будут сосать лапу.

 P.S. К мифическим "преимуществам tcp перед openvpn" это никакого
 отношения не имеет, здесь просто грубая ошибка конфигурации.
-- 
 Eugene Berdnikov

Reply to:

References:
- подземные стуки с openvpn за nat'ом.
  - From: Vladimir Elizarov <xengelpublicx@gmail.com>

Prev by Date: Re: загрузка правил iptables
Next by Date: Как сделать, что бы шрифты выглядели получше в WindowMaker?
Previous by thread: Re: подземные стуки с openvpn за nat'ом.
Next by thread: openoffice hyphenation
Index(es):
- Date
- Thread