iStitch07 Posted July 18, 2018 Posted July 18, 2018 Гуру iptables и сетевых стеков, нужна ваша помощь :) Настроил у себя в домашней сети маршрутизацию выборочных запросов через тор и это вот все. В локалке все работает как надо и хорошо. Но был сильно удивлен, когда решил проверить как это работает когда я подключаюсь к себе по VPN (IPSec, встроенный) и обнаружил что это не работает никак. А еще сильнее был удивлен, когда узнал что для клиентов IPSec нет своего сетевого интерфейса. Если бы он был, вопросов бы не было наверное, добавил бы новое правило прероутинга для интерфейса и все, наподобие уже работающих для локалки: iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 Но поскольку его нет, решил добавить правило для сети в которую попадает мое устройство подключенное по IPSec (172.20.0.0/25): iptables -t nat -I PREROUTING -p tcp -s 172.20.0.0/25 -m set --match-set rublock dst -j REDIRECT --to-ports 9040 Не сработало: счетчик пакетов и байтов нулевой, мой внешний адрес для сайтов не подменяется, значит я по прежнему хожу через обычный нат Подскажите какие (какое правило) и куда нужно прописать, что бы IPSecовский клиент тоже мог наслаждаться всеми плюшками того что есть в локалке? Quote
Le ecureuil Posted July 23, 2018 Posted July 23, 2018 Virtual IP является устаревшей технологией. Переходите на L2TP/IPsec, там интерфейсы есть. 1 Quote
iStitch07 Posted July 23, 2018 Author Posted July 23, 2018 1 час назад, Le ecureuil сказал: Virtual IP является устаревшей технологией. Переходите на L2TP/IPsec, там интерфейсы есть. С ним у меня вообще ничего не работает: на интерфейсе l2tp вижу только исходящие dns запросы на 192.168.1.1, но нет ответов Quote
Le ecureuil Posted July 24, 2018 Posted July 24, 2018 13 часа назад, iStitch07 сказал: С ним у меня вообще ничего не работает: на интерфейсе l2tp вижу только исходящие dns запросы на 192.168.1.1, но нет ответов А что у вас за клиент и какая версия прошивки? Quote
sap Posted June 20, 2020 Posted June 20, 2020 Добрый день! Чтобы не создавать новую тему, напишу здесь. Есть старый белый zyxel keenetic giga (прошивка v2.04(USD.8)C7); задача в том, чтобы у отдельных устройств были другие днс сервера с возможностью фильтрации рекламы и т.п. Установил dnsmasq, отключил ppe и fastnat, создал файл /opt/etc/ndm/netfilter.d/010-intercept-dns.sh : #!/bin/sh [ "$table" != "nat" ] && exit 0 iptables -t nat -I PREROUTING -p udp -m udp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 192.168.1.1:8053 iptables -t nat -I POSTROUTING -p udp -m udp -s 192.168.1.1 --sport 8053 -j SNAT --to-source 1.1.1.1:53 Правила iptables срабатывают, запросы устройств с днс сервером 1.1.1.1 заворачиваются на dnsmasq, всё работает. Но у устройств с другим днс сервером возникают проблемы: в дампе траффика видно, что запросы днс уходят с разных портов, а ВСЕ ответы приходят на один и тот же случайный порт (например, порт 22345 или 34502). Может нужны другие правила iptables или еще какие-то? Или причина вообще не в iptables? Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.