Vytvoření tunelu

celebrant.athlon

Zdravím, jde udělat tunel typu:

PC1_winxp ---> Internet ---> PC2_debian ---> Internet ---> PC3 (server) ?

Z nějakého, pro mě neznámého, důvodu se z PC1 nedostanu na PC3, ale PC2 se na PC3 dostane bez problémů (a PC1 se dostane na PC2). PC1 a PC2 nejsou v lokální síti a PC2 má veřejnou IP adresu a běží na něm debian (ubuntu). PC1 je za natem.

Jde udělat tunel přes PC2 na PC3? Dejme tomu, že na PC3 běží nějaká služba třeba na portu 81 a já se na ni chci dostat přes IP_PC2:81. Jde to?

OndraSter · Příspěvek od **OndraSter** » stř 7. lis 2007, 18:44

iptables?

celebrant.athlon

Ááno, tuším, že s iptables to udělat jde. Teď ale jak přesně?

OndraSter · Příspěvek od **OndraSter** » stř 7. lis 2007, 19:29

man iptables

jinak http://www.root.cz/clanky/vse-o-iptables-uvod/

K. · Příspěvek od K. » stř 7. lis 2007, 21:29

OndraSter píše:man iptables

jinak http://www.root.cz/clanky/vse-o-iptables-uvod/

Man IPtables toho moc nevyřeší. O něco podobného (trochu složitějšího díky omezení portů) se pokouším už pár dní a pořád nic

OndraSter · Příspěvek od **OndraSter** » stř 7. lis 2007, 23:14

No, ja nekouknul poradne na ten diagram, myslel jsem ze to je tak, ze prvni PC je pripojen do internetu, pres nej bezi net do druhyho, na toho je nasmerovana verejna IP a pak jeste za nim je treti..

Jak to je spojeny? Ten diagram jsem moc nepochopil

.

Mam tu program Packet Tracer, ale nevim jak do jednoho obyc kompu nacpat 2 sitovky a jak udelat verejnou IP atd..

// tak 2 eth do obyc kompu nedam, je to program na CISCO krabicky.. No, ale stejne nejak vyzjistim proc to nepinga, routery tam jsou.

// tak pohoda, PC--Router--Server
IP 192.168.8.x a 192.168.9.x, PC dopinga na router i na server. Bohuzel sem nenasel zadny veci jako verejna IP, dostupnost z internetu atd.

celebrant.athlon

PC1 a PC2 jsou do internetu zapojeny nezávisle. Za PC3 si dosaď třeba seznam.cz.

Kód: Vybrat vše

PC1 ---> ----------
         |Internet| <--- PC3
PC2 ---> ----------

PC1 se dostane k PC2, ale ne k PC3.
PC2 se dostane jak na PC1, tak na PC3.

Zkoušel jsem udělat gre tunel podle seriálu na root.cz, ale s tím, že na PC1 nemám veřejnou IP adresu a ani možnost naroutovat na něj porty, mi to nešlo. Jinak zkoušel jsem i hamachi na vytvoření tunelu mezi PC1 a PC2, ale na PC1 to hamachi nedokáže udělat spojení s žádným ze 20 PC, co jsou v síti (člověk by se divil, co dokáže udělat D-Link router v cestě).

OndraSter · Příspěvek od **OndraSter** » čtv 8. lis 2007, 16:00

jaky OS mas na serveru?
Zkousis jen ping? Nebo i neco jinyho?

tosuja · Příspěvek od **tosuja** » čtv 8. lis 2007, 16:04

IPtables reseni je vlastne DNAT+SNAT, jinymi slovy preklad jak cilove, tak zdrojove IP.

preklad cilove adresy (DNAT) bude vypadat asi takto:

Kód: Vybrat vše

/sbin/iptables -t nat -A PREROUTING -s <IP_PC1> -d <IP_PC2> -p <protokol> --dport <cislo_portu> -j DNAT --to-destination <IP_PC3>

SNAT:

Kód: Vybrat vše

/sbin/iptables -t nat -A POSTROUTING -s <IP_PC3> -d <IP_PC2> -p <protokol> --dport <cislo portu> -j SNAT --to-source <IP_PC1>

IP_PC1 je verejna IP PC1, tedy adresa, pod kterou se PC1 jevi zbytku sveta.

Dalsi varianta je nainstaloval vtun nebo openvpn server na PC2 a na PC1 odpovidajici klient, pricemz muzes tezit z toho, ze pravidla na strane PC2 budou velmi jednoducha - budes jenom NATovat (resp. maskaradovat) data z toho OpenVPN tunelu

celebrant.athlon

Tosujo, děkuji

Funguje to.