我有一个专门的OpenVPN服务器坐在NAT路由器后面,我有服务器的静态IP设置在DMZ中; 问题在于,使用当前规则集(如下面的屏幕截图所示),我无法从Internet连接到VPN服务器,也无法连接到SSH。 但是,如果我允许在eth0上的stream量都很好,但是这几乎可以让任何types的stream量到达主机,并且完全破坏了iptables规则集的目的; 在屏幕截图中,我已经将stream量设置为eth0(第二条规则从下到上),主机无法访问上面规定的规则,但是如果我将规则设置为接受所有规则都没问题,但正如我所说的那样,以上所有规则的目的
主机只有一个物理以太网适配器(eth0),在NAT路由器后面有一个静态IP
我不知道这里的问题是什么,任何帮助将不胜感激; 如果我在NAT后面的networking上,一切正常,并且所有策略都可以正常工作,即使从下到上的第二个规则设置为Nothing(不活动)
谢谢!
OpenVPN守护程序实例在端口1194和1195上运行SSH守护程序在端口50上运行
这里是iptables规则集configuration文件,我修剪了所有的规则,只留下了端口50公开,但我仍然无法访问它
# Generated by iptables-save v1.3.8 on Mon Jan 2 14:46:33 2012 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon Jan 2 14:46:33 2012 # Generated by iptables-save v1.3.8 on Mon Jan 2 14:46:33 2012 *mangle :PREROUTING ACCEPT [213:219554] :INPUT ACCEPT [213:219554] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [155:35616] :POSTROUTING ACCEPT [155:35616] COMMIT # Completed on Mon Jan 2 14:46:33 2012 # Generated by iptables-save v1.3.8 on Mon Jan 2 14:46:33 2012 *filter :FORWARD ACCEPT [0:0] :INPUT DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p udp -m udp -i eth0 --sport 50 -j ACCEPT -A INPUT -p tcp -m tcp -i eth0 --sport 50 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT COMMIT # Completed on Mon Jan 2 14:46:33 2012 编辑:
真的很奇怪,虽然SSH工作,并且端口10000上的networking服务器也是如此,但我似乎无法连接到VPN服务器,规则设置是相同的,你们build议,但不同的端口,即。 1194和1195即使我允许所有的stream量通过…
我切换到UDP,现在我可以公开连接,但客户端挂在接收服务器响应,所以基本上客户端可以发送数据包到服务器,但服务器无法路由回; 第一个NAT路由器面向互联网,第二个NAT路由器有一个静态IP,它被设置在第一个面向互联网的路由器的DMZ中,并且我有特定的端口转发第二个NAT路由器,但是,让我困惑的是,我可以提供网页,我可以在这个configuration的SSH,但不能得到openVPN的正常工作…
我已经在Ubuntu论坛上发布链接问题,并且用户确实回答了我的问题,这一切都很好,但他们似乎没有在这里声称信用:(所以我链接回论坛和发布答案!
我想我需要的目的地端口有条件,而不是来源,术语混淆:)
如果我理解正确(通常情况并非如此),SSH守护进程正在侦听端口50.尝试更改此行:
-A INPUT -p tcp -m tcp -i eth0 --sport 50 -j ACCEPT
对此:
-A INPUT -p tcp -m tcp -i eth0 --dport 50 -j ACCEPT