Tham gia Đăng nhập
Điểm:0
avatar Server

Định tuyến Linux và chuyển tiếp cổng sang mạng thứ cấp không hoạt động từ mạng WAN

lá cờ sa
user156661

Tôi có một hộp linux hoạt động như một bộ định tuyến, với hai giao diện · eth0 - 192.168.0.61 · as0t0 - 172.27.224.1

Mạng 192.168.2.0/24 có thể truy cập được thông qua as0t0, vì vậy tôi có các tuyến đường sau:

[[email protected] ~]# tuyến đường
Bảng định tuyến IP hạt nhân
Cổng đích Genmask Flag Metric Ref Sử dụng Iface
cổng mặc định 0.0.0.0 UG 100 0 0 eth0
172.27.224.0 0.0.0.0 255.255.240.0 U 0 0 0 as0t0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 as0t0

Tôi cũng có một quy tắc chuyển tiếp cổng:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8123 -j DNAT --to-destination 192.168.2.245:8123

Hiện tại máy chủ 192.168.0.0/24 có thể sử dụng máy chủ web tại 192.168.2.245:8123 một cách hoàn hảo, nó không hoạt động từ máy chủ của WAN.Bộ định tuyến chính là 192.168.0.251 với các tuyến đường và cổng chuyển tiếp.

Các gói đạt 192.168.0.61 eth0, nhưng chúng không đi qua as0t0 và tôi không biết tại sao.

Ví dụ khi host 192.168.0.6 dùng trình duyệt web đến 192.168.0.61:8123 đều hoạt động hoàn hảo.

[[email protected] ~]# tcpdump -i eth0 cổng 8123 -n
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên eth0, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
16:47:22.232044 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [SEW], seq 361471277, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:47:22.305155 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [S.], seq 226116772, ack 361471278, win 64240, tùy chọn [mss 1258,nop,nop,sackOK,nop,wscale 7], chiều dài 0
16:47:22.305722 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [.], ack 1, win 1027, chiều dài 0
16:47:22.305868 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [P.], seq 1:601, ack 1, win 1027, chiều dài 600
16:47:22.446997 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [.], ack 601, win 501, độ dài 0
16:47:22.447020 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 1:170, ack 601, win 501, chiều dài 169
16:47:22.447035 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 170:230, ack 601, win 501, chiều dài 60
16:47:22.447484 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [.], ack 230, win 1026, độ dài 0
16:47:22.537873 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [P.], seq 601:1431, ack 230, win 1026, độ dài 830
16:47:22.646742 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [.], ack 1431, win 501, độ dài 0
16:47:22.646762 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 230:400, ack 1431, win 501, chiều dài 170
16:47:22.646777 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 400:570, ack 1431, win 501, chiều dài 170
16:47:22.647193 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [.], ack 570, win 1024, độ dài 0
...

[[email protected] ~]# tcpdump -i as0t0 cổng 8123 -n
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên as0t0, RAW loại liên kết (IP thô), kích thước chụp 262144 byte
16:47:22.232111 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [SEW], seq 361471277, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:47:22.305136 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [S.], seq 226116772, ack 361471278, win 64240, tùy chọn [mss 1258,nop,nop,sackOK,nop,wscale 7], chiều dài 0
16:47:22.305863 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [.], ack 1, win 1027, độ dài 0
16:47:22.305872 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 1:601, ack 1, win 1027, chiều dài 600
16:47:22.446980 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [.], ack 601, win 501, độ dài 0
16:47:22.447013 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 1:170, ack 601, win 501, chiều dài 169
16:47:22.447030 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 170:230, ack 601, win 501, chiều dài 60
16:47:22.447495 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [.], ack 230, win 1026, độ dài 0
16:47:22.537892 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 601:1431, ack 230, win 1026, độ dài 830
16:47:22.646728 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [.], ack 1431, win 501, độ dài 0
16:47:22.646755 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 230:400, ack 1431, win 501, độ dài 170
16:47:22.646771 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 400:570, ack 1431, win 501, chiều dài 170
16:47:22.647207 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [.], ack 570, win 1024, độ dài 0


[email protected]:~ $ Sudo tcpdump -i tun0 port 8123 -n
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên tun0, RAW loại liên kết (IP thô), kích thước chụp 262144 byte
16:47:22.283238 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [SEW], seq 361471277, win 64240, tùy chọn [mss 1258,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:47:22.283327 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [S.], seq 226116772, ack 361471278, win 64240, tùy chọn [mss 1460,nop,nop,sackOK,nop,wscale 7], chiều dài 0
16:47:22.375692 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [.], ack 1, win 1027, độ dài 0
16:47:22.375946 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 1:601, ack 1, win 1027, chiều dài 600
16:47:22.375988 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [.], ack 601, win 501, độ dài 0
16:47:22.383365 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 1:170, ack 601, win 501, chiều dài 169
16:47:22.383586 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 170:230, ack 601, win 501, chiều dài 60
16:47:22.494391 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [.], ack 230, win 1026, độ dài 0
16:47:22.585272 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 601:1431, ack 230, win 1026, độ dài 830
16:47:22.585325 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [.], ack 1431, win 501, độ dài 0
16:47:22.593274 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 230:400, ack 1431, win 501, chiều dài 170
16:47:22.594160 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 400:570, ack 1431, win 501, chiều dài 170
16:47:22.693687 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [.], ack 570, win 1024, độ dài 0

Tuy nhiên, khi yêu cầu đến từ internet 192.168.0.61 nhận được yêu cầu nhưng không được chuyển tiếp qua as0t0. Ví dụ như:

[[email protected] ~]# tcpdump -i eth0 cổng 8123 -n
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên eth0, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
16:51:55.079366 IP 185.157.131.172.54673 > 192.168.0.61.8123: Flags [S], seq 331949659, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:55.759341 IP 185.157.131.172.54674 > 192.168.0.61.8123: Flags [S], seq 459540767, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:55.785218 IP 185.157.131.172.54675 > 192.168.0.61.8123: Flags [S], seq 3837920396, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:56.037321 IP 185.157.131.172.54676 > 192.168.0.61.8123: Flags [S], seq 1212264514, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:56.095399 IP 185.157.131.172.54673 > 192.168.0.61.8123: Flags [S], seq 331949659, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:56.775268 IP 185.157.131.172.54674 > 192.168.0.61.8123: Flags [S], seq 459540767, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:56.797301 IP 185.157.131.172.54675 > 192.168.0.61.8123: Flags [S], seq 3837920396, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:57.055209 IP 185.157.131.172.54676 > 192.168.0.61.8123: Flags [S], seq 1212264514, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:58.115261 IP 185.157.131.172.54673 > 192.168.0.61.8123: Flags [S], seq 331949659, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:58.799213 IP 185.157.131.172.54674 > 192.168.0.61.8123: Flags [S], seq 459540767, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:58.800187 IP 185.157.131.172.54675 > 192.168.0.61.8123: Flags [S], seq 3837920396, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
16:51:59.067247 IP 185.157.131.172.54676 > 192.168.0.61.8123: Flags [S], seq 1212264514, win 64240, tùy chọn [mss 1460,nop,wscale 8,nop,nop,sackOK], độ dài 0
...



[[email protected]~]# tcpdump -i as0t0 port 8123 -n
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên as0t0, RAW loại liên kết (IP thô), kích thước chụp 262144 byte


[email protected]:~ $ Sudo tcpdump -i tun0 port 8123 -n
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên tun0, RAW loại liên kết (IP thô), kích thước chụp 262144 byte

Tôi không biết làm thế nào tiếp tục khắc phục sự cố. Bất kỳ ý tưởng?

Cảm ơn

Chỉnh sửa 1:

[[email protected] ~]# iptables-save -c
# Được tạo bởi iptables-save v1.4.21 vào Thứ ba ngày 19 tháng 10 16:14:28 năm 2021
* mangle
: CHẤP NHẬN TRƯỚC [47:10649]
:INPUT CHẤP NHẬN [560:148103]
:CHẤP NHẬN TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [548:147705]
:CHẤP NHẬN SAU ĐÓ [548:147705]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
[533:144894] -A PREROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_MANGLE_PRE_REL_EST
[2:251] -A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
[533:144894] -A AS0_MANGLE_PRE_REL_EST -j CHẤP NHẬN
[2:251] -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
[2:251] -A AS0_MANGLE_TUN -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ ba 19 tháng 10 16:14:28 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ ba ngày 19 tháng 10 16:14:28 năm 2021
* nguyên
: CHẤP NHẬN TRƯỚC [611:161750]
:CHẤP NHẬN ĐẦU RA [577:150493]
LÀM
# Hoàn thành vào Thứ ba 19 tháng 10 16:14:28 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ ba ngày 19 tháng 10 16:14:28 năm 2021
*lọc
:CHẤP NHẬN ĐẦU VÀO [7:1954]
:CHẤP NHẬN TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [504:140983]
:AS0_ACCCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_NAT - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_IN_ROUTE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_POST - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_U_OPENVPN_IN - [0:0]
:AS0_U_OPENVPN_OUT - [0:0]
:AS0_WEBACCCEPT - [0:0]
[534:144934] -A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_ACCEPT
[13:780] -A INPUT -i lo -j AS0_ACCEPT
[0:0] -A INPUT -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[2:120] -A INPUT -d 192.168.0.61/32 -p tcp -m state --state NEW -m tcp --dport 1194 -j AS0_ACCEPT
[0:0] -A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_WEBACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 943 -j AS0_WEBACCEPT
[0:0] -A FORWARD -m state --state LIÊN QUAN,THÀNH LẬP -j AS0_ACCEPT
[0:0] -A FORWARD -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[0:0] -A FORWARD -o as0t+ -j AS0_OUT_S2C
[0:0] -A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
[549:145834] -A AS0_ACCEPT -j CHẤP NHẬN
[0:0] -A AS0_IN -d 172.27.224.1/32 -j CHẤP NHẬN
[0:0] -A AS0_IN -s 172.27.224.2/32 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -s 192.168.2.0/24 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -j AS0_IN_POST
[0:0] -A AS0_IN_NAT -j MARK --set-xmark 0x8000000/0x8000000
[0:0] -A AS0_IN_NAT -j CHẤP NHẬN
[0:0] -A AS0_IN_POST -d 192.168.0.0/24 -j CHẤP NHẬN
[0:0] -A AS0_IN_POST -o as0t+ -j AS0_OUT
[0:0] -A AS0_IN_POST -j DROP
[0:0] -A AS0_IN_PRE -d 169.254.0.0/16 -j AS0_IN
[0:0] -A AS0_IN_PRE -d 192.168.0.0/16 -j AS0_IN
[0:0] -A AS0_IN_PRE -d 172.16.0.0/12 -j AS0_IN
[0:0] -A AS0_IN_PRE -d 10.0.0.0/8 -j AS0_IN
[0:0] -A AS0_IN_PRE -j DROP
[0:0] -A AS0_IN_ROUTE -j MARK --set-xmark 0x4000000/0x4000000
[0:0] -A AS0_IN_ROUTE -j CHẤP NHẬN
[0:0] -A AS0_OUT -d 172.27.224.2/32 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -d 192.168.2.0/24 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -j AS0_OUT_POST
[0:0] -A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A AS0_OUT_LOCAL -j CHẤP NHẬN
[0:0] -A AS0_OUT_POST -j DROP
[0:0] -A AS0_OUT_S2C -s 192.168.0.0/24 -j CHẤP NHẬN
[0:0] -A AS0_OUT_S2C -j AS0_OUT
[0:0] -A AS0_U_OPENVPN_IN -d 192.168.0.0/24 -j AS0_IN_ROUTE
[0:0] -A AS0_U_OPENVPN_IN -j AS0_IN_POST
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.0.0/24 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.2.0/24 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -s 172.27.224.0/20 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -j AS0_OUT_POST
[0:0] -A AS0_WEBACCEPT -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ ba 19 tháng 10 16:14:28 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ ba ngày 19 tháng 10 16:14:28 năm 2021
*tự nhiên
: CHẤP NHẬN TRƯỚC [36:10120]
:CHẤP NHẬN ĐẦU VÀO [14:2429]
:CHẤP NHẬN ĐẦU RA [18:1141]
: SAU CHẤP NHẬN [18:1141]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
[0:0] -A PREROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_NAT_PRE_REL_EST
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1883 -j DNAT --to-destination 192.168.2.245:1883
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1884 -j DNAT --to-destination 192.168.2.245:1884
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 8123 -j DNAT --to-destination 192.168.2.245:8123
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.2.245:22
[0:0] -A POSTROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_NAT_POST_REL_EST
[0:0] -A POSTROUTING -m mark --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
[0:0] -A AS0_NAT -o eth0 -j SNAT --to-source 192.168.0.61
[0:0] -A AS0_NAT -j CHẤP NHẬN
[0:0] -A AS0_NAT_POST_REL_EST -j CHẤP NHẬN
[0:0] -A AS0_NAT_PRE -m dấu --mark 0x8000000/0x8000000 -j AS0_NAT
[0:0] -A AS0_NAT_PRE -d 169.254.0.0/16 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -d 192.168.0.0/16 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -d 172.16.0.0/12 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -d 10.0.0.0/8 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -j AS0_NAT
[0:0] -A AS0_NAT_PRE_REL_EST -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -o as0t+ -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -m dấu --mark 0x4000000/0x4000000 -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -d 192.168.0.0/24 -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -d 192.168.2.0/24 -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -d 172.27.224.0/20 -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -j AS0_NAT
LÀM
# Hoàn thành Thứ ba 19/10 16:14:28 202

Chỉnh sửa 2: Như @ a-b đề xuất, tôi cung cấp thêm thông tin về cách bố trí mạng, vì có một đường hầm openVPN (định tuyến) có thể đang lọc một số gói. Đường hầm openVPN được biểu diễn dưới dạng một tia.

Bố cục mạng Trong ví dụ 192.168.0.6 có thể đi qua đường hầm, nhưng ip công khai (185.157.131.172) thì không.

100
0 + 0
A.B avatar
lá cờ cl
A.B
Vui lòng thêm đầu ra của câu hỏi này vào câu hỏi của bạn: `iptables-save -c`.(tức là: toàn bộ tường lửa, không phải đoạn trích). Ngoài ra, as0t0 dường như không giống Ethernet mà có thể là một loại đường hầm lớp 3 nào đó. Vì vậy, bất kỳ thông tin bổ sung nào về cách bố trí mạng thực cũng có thể hữu ích.
0
Hồi đáp
lá cờ sa
user156661
Tôi vừa chỉnh sửa bài đăng thêm đầu ra của iptables-save -c.
0
Hồi đáp
lá cờ sa
user156661
Vâng, cách bố trí mạng phức tạp hơn một chút, nhưng tôi cố gắng giữ cho câu hỏi đơn giản nhất có thể. 192.168.0.61 là máy chủ OpenVPN AS (as0t0) và 192.168.2.245 là máy khách OpenVPN (tun0). Nhưng theo như tôi biết thì không có vấn đề gì với điều đó, vì 192.168.2.245 có thể truy cập được từ 192.168.0.0/24 mà không gặp vấn đề gì.
0
Hồi đáp
A.B avatar
lá cờ cl
A.B
Tôi sẽ chèn (chứ không phải nối thêm) một quy tắc trong chuỗi FORWARD của bộ lọc để cho phép lưu lượng truy cập giữa eth0 và as0t0 và ngược lại để kiểm tra xem đó có phải là sự cố iptables chứ không phải sự cố định tuyến.Sau đó, tôi sẽ kiểm tra công cụ đã tạo ra các quy tắc này (chúng trông không được làm thủ công phải không?) để xem cách kích hoạt lưu lượng bị chặn. Tôi thực sự không thấy làm thế nào để đưa ra câu trả lời với những quy tắc xung quanh.
0
Hồi đáp
Điểm:1
avatar Server
lá cờ sa
user156661

Theo đề xuất của @A.B, tôi đã xem các cài đặt OpenVPN AS, cài đặt này tạo ra rất nhiều quy tắc iptables. Tôi đã sửa đổi một trường đó là:

Lộ trình
Chỉ định các mạng con riêng mà tất cả các máy khách sẽ được cấp quyền truy cập (một mạng trên mỗi dòng): 
192.168.0.0/24

Qua:

Lộ trình
Chỉ định các mạng con riêng mà tất cả các máy khách sẽ được cấp quyền truy cập (một mạng trên mỗi dòng): 
192.168.0.0/24
0.0.0.0/0

Bây giờ các gói có IP công cộng được chuyển tiếp từ eth0 đến as0t0 không có vấn đề gì và tất cả đều hoạt động.

Nếu bây giờ tôi thực hiện iptables-save -c tôi nhận được:

[[email protected] ~]# iptables-save -c
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
* mangle
: CHẤP NHẬN TRƯỚC [232:55794]
:CHẤP NHẬN ĐẦU VÀO [2986:381728]
: CHẤP NHẬN TRƯỚC [15:2541]
:CHẤP NHẬN ĐẦU RA [2929:1099682]
:CHẤP NHẬN SAU ĐÓ [2944:1102223]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
[2899:374408] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_MANGLE_PRE_REL_EST
[12:1506] -A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
[2899:374408] -A AS0_MANGLE_PRE_REL_EST -j CHẤP NHẬN
[12:1506] -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
[12:1506] -A AS0_MANGLE_TUN -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ 4 ngày 20 tháng 10 16:25:06 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
* nguyên
: CHẤP NHẬN TRƯỚC [3175:434235]
:CHẤP NHẬN ĐẦU RA [2972:1103685]
LÀM
# Hoàn thành vào Thứ 4 ngày 20 tháng 10 16:25:06 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
*lọc
:CHẤP NHẬN ĐẦU VÀO [61:5708]
:CHẤP NHẬN TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [2839:1062541]
:AS0_ACCCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_NAT - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_IN_ROUTE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_POST - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_U_OPENVPN_IN - [0:0]
:AS0_U_OPENVPN_OUT - [0:0]
:AS0_WEBACCCEPT - [0:0]
[2900:374448] -A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_ACCEPT
[14:840] -A INPUT -i lo -j AS0_ACCEPT
[0:0] -A INPUT -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[1:60] -A INPUT -d 192.168.0.61/32 -p tcp -m state --state NEW -m tcp --dport 1194 -j AS0_ACCEPT
[0:0] -A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_WEBACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 943 -j AS0_WEBACCEPT
[0:0] -A FORWARD -m state --state LIÊN QUAN,THÀNH LẬP -j AS0_ACCEPT
[0:0] -A FORWARD -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[15:2541] -A FORWARD -o as0t+ -j AS0_OUT_S2C
[0:0] -A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
[2915:375348] -A AS0_ACCEPT -j CHẤP NHẬN
[0:0] -A AS0_IN -d 172.27.224.1/32 -j CHẤP NHẬN
[0:0] -A AS0_IN -s 172.27.224.2/32 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -s 192.168.2.0/24 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -j AS0_IN_POST
[0:0] -A AS0_IN_NAT -j MARK --set-xmark 0x8000000/0x8000000
[0:0] -A AS0_IN_NAT -j CHẤP NHẬN
[0:0] -A AS0_IN_POST -j CHẤP NHẬN
[0:0] -A AS0_IN_POST -o as0t+ -j AS0_OUT
[0:0] -A AS0_IN_POST -j DROP
[0:0] -A AS0_IN_PRE -j AS0_IN
[0:0] -A AS0_IN_PRE -j DROP
[0:0] -A AS0_IN_ROUTE -j MARK --set-xmark 0x4000000/0x4000000
[0:0] -A AS0_IN_ROUTE -j CHẤP NHẬN
[0:0] -A AS0_OUT -d 172.27.224.2/32 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -d 192.168.2.0/24 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -j AS0_OUT_POST
[0:0] -A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A AS0_OUT_LOCAL -j CHẤP NHẬN
[0:0] -A AS0_OUT_POST -j DROP
[15:2541] -A AS0_OUT_S2C -j CHẤP NHẬN
[0:0] -A AS0_OUT_S2C -j AS0_OUT
[0:0] -A AS0_U_OPENVPN_IN -d 192.168.0.0/24 -j AS0_IN_ROUTE
[0:0] -A AS0_U_OPENVPN_IN -j AS0_IN_POST
[0:0] -A AS0_U_OPENVPN_OUT -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.2.0/24 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -s 172.27.224.0/20 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -j AS0_OUT_POST
[0:0] -A AS0_WEBACCEPT -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ 4 ngày 20 tháng 10 16:25:06 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
*tự nhiên
: CHẤP NHẬN TRƯỚC [207:53029]
:CHẤP NHẬN ĐẦU VÀO [63:5230]
:CHẤP NHẬN ĐẦU RA [19:1202]
:CHẤP NHẬN SAU ĐÓ [21:1562]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
[0:0] -A PREROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_NAT_PRE_REL_EST
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1883 -j DNAT --to-destination 192.168.2.245:1883
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1884 -j DNAT --to-destination 192.168.2.245:1884
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 8123 -j DNAT --to-destination 192.168.2.245:8123
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.2.245:22
[0:0] -A POSTROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_NAT_POST_REL_EST
[0:0] -A POSTROUTING -m mark --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
[0:0] -A AS0_NAT -o eth0 -j SNAT --to-source 192.168.0.61
[0:0] -A AS0_NAT -j CHẤP NHẬN
[0:0] -A AS0_NAT_POST_REL_EST -j CHẤP NHẬN
[0:0] -A AS0_NAT_PRE -m dấu --mark 0x8000000/0x8000000 -j AS0_NAT
[0:0] -A AS0_NAT_PRE -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -j AS0_NAT
[0:0] -A AS0_NAT_PRE_REL_EST -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -o as0t+ -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -m dấu --mark 0x4000000/0x4000000 -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -j AS0_NAT
LÀM
# Hoàn thành vào Thứ Tư ngày 20 tháng 10 16:25:06 2021[root@centoscwp ~]# iptables-save -c
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
* mangle
: CHẤP NHẬN TRƯỚC [232:55794]
:CHẤP NHẬN ĐẦU VÀO [2986:381728]
: CHẤP NHẬN TRƯỚC [15:2541]
:CHẤP NHẬN ĐẦU RA [2929:1099682]
:CHẤP NHẬN SAU ĐÓ [2944:1102223]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
[2899:374408] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_MANGLE_PRE_REL_EST
[12:1506] -A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
[2899:374408] -A AS0_MANGLE_PRE_REL_EST -j CHẤP NHẬN
[12:1506] -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
[12:1506] -A AS0_MANGLE_TUN -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ 4 ngày 20 tháng 10 16:25:06 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
* nguyên
: CHẤP NHẬN TRƯỚC [3175:434235]
:CHẤP NHẬN ĐẦU RA [2972:1103685]
LÀM
# Hoàn thành vào Thứ 4 ngày 20 tháng 10 16:25:06 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
*lọc
:CHẤP NHẬN ĐẦU VÀO [61:5708]
:CHẤP NHẬN TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [2839:1062541]
:AS0_ACCCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_NAT - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_IN_ROUTE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_POST - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_U_OPENVPN_IN - [0:0]
:AS0_U_OPENVPN_OUT - [0:0]
:AS0_WEBACCCEPT - [0:0]
[2900:374448] -A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_ACCEPT
[14:840] -A INPUT -i lo -j AS0_ACCEPT
[0:0] -A INPUT -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[1:60] -A INPUT -d 192.168.0.61/32 -p tcp -m state --state NEW -m tcp --dport 1194 -j AS0_ACCEPT
[0:0] -A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_WEBACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 943 -j AS0_WEBACCEPT
[0:0] -A FORWARD -m state --state LIÊN QUAN,THÀNH LẬP -j AS0_ACCEPT
[0:0] -A FORWARD -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[15:2541] -A FORWARD -o as0t+ -j AS0_OUT_S2C
[0:0] -A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
[2915:375348] -A AS0_ACCEPT -j CHẤP NHẬN
[0:0] -A AS0_IN -d 172.27.224.1/32 -j CHẤP NHẬN
[0:0] -A AS0_IN -s 172.27.224.2/32 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -s 192.168.2.0/24 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -j AS0_IN_POST
[0:0] -A AS0_IN_NAT -j MARK --set-xmark 0x8000000/0x8000000
[0:0] -A AS0_IN_NAT -j CHẤP NHẬN
[0:0] -A AS0_IN_POST -j CHẤP NHẬN
[0:0] -A AS0_IN_POST -o as0t+ -j AS0_OUT
[0:0] -A AS0_IN_POST -j DROP
[0:0] -A AS0_IN_PRE -j AS0_IN
[0:0] -A AS0_IN_PRE -j DROP
[0:0] -A AS0_IN_ROUTE -j MARK --set-xmark 0x4000000/0x4000000
[0:0] -A AS0_IN_ROUTE -j CHẤP NHẬN
[0:0] -A AS0_OUT -d 172.27.224.2/32 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -d 192.168.2.0/24 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -j AS0_OUT_POST
[0:0] -A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A AS0_OUT_LOCAL -j CHẤP NHẬN
[0:0] -A AS0_OUT_POST -j DROP
[15:2541] -A AS0_OUT_S2C -j CHẤP NHẬN
[0:0] -A AS0_OUT_S2C -j AS0_OUT
[0:0] -A AS0_U_OPENVPN_IN -d 192.168.0.0/24 -j AS0_IN_ROUTE
[0:0] -A AS0_U_OPENVPN_IN -j AS0_IN_POST
[0:0] -A AS0_U_OPENVPN_OUT -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.2.0/24 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -s 172.27.224.0/20 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -j AS0_OUT_POST
[0:0] -A AS0_WEBACCEPT -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ 4 ngày 20 tháng 10 16:25:06 2021
# Được tạo bởi iptables-save v1.4.21 vào Thứ Tư ngày 20 tháng 10 16:25:06 năm 2021
*tự nhiên
: CHẤP NHẬN TRƯỚC [207:53029]
:CHẤP NHẬN ĐẦU VÀO [63:5230]
:CHẤP NHẬN ĐẦU RA [19:1202]
:CHẤP NHẬN SAU ĐÓ [21:1562]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
[0:0] -A PREROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_NAT_PRE_REL_EST
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1883 -j DNAT --to-destination 192.168.2.245:1883
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1884 -j DNAT --to-destination 192.168.2.245:1884
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 8123 -j DNAT --to-destination 192.168.2.245:8123
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.2.245:22
[0:0] -A POSTROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j AS0_NAT_POST_REL_EST
[0:0] -A POSTROUTING -m mark --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
[0:0] -A AS0_NAT -o eth0 -j SNAT --to-source 192.168.0.61
[0:0] -A AS0_NAT -j CHẤP NHẬN
[0:0] -A AS0_NAT_POST_REL_EST -j CHẤP NHẬN
[0:0] -A AS0_NAT_PRE -m dấu --mark 0x8000000/0x8000000 -j AS0_NAT
[0:0] -A AS0_NAT_PRE -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -j AS0_NAT
[0:0] -A AS0_NAT_PRE_REL_EST -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -o as0t+ -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -m dấu --mark 0x4000000/0x4000000 -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -j CHẤP NHẬN
[0:0] -A AS0_NAT_TEST -j AS0_NAT
LÀM
# Hoàn thành vào Thứ 4 ngày 20 tháng 10 16:25:06 2021

Như bạn có thể thấy một số quy tắc đã được thay đổi, như: trước:

[0:0] -A AS0_IN_POST -d 192.168.0.0/24 -j CHẤP NHẬN
[0:0] -A AS0_OUT_S2C -s 192.168.0.0/24 -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.0.0/24 -j CHẤP NHẬN
[0:0] -A AS0_NAT_PRE -d 192.168.0.0/16 -j AS0_NAT_TEST

sau đó:

[0:0] -A AS0_IN_POST -j CHẤP NHẬN
[15:2541] -A AS0_OUT_S2C -j CHẤP NHẬN
[0:0] -A AS0_U_OPENVPN_OUT -j CHẤP NHẬN
[0:0] -A AS0_NAT_PRE -j AS0_NAT_TEST

Tôi đính kèm ảnh chụp màn hình cài đặt OpenVPN mà tôi đã thay đổi nhập mô tả hình ảnh ở đây

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.