ฉันมีกล่องลินุกซ์ที่ทำหน้าที่เป็นเราเตอร์ โดยมีสองอินเทอร์เฟซ · eth0 - 192.168.0.61 · as0t0 - 172.27.224.1
เครือข่าย 192.168.2.0/24 สามารถเข้าถึงได้ผ่าน as0t0 ดังนั้นฉันจึงมีเส้นทางนี้:
[[email protected] ~]# เส้นทาง
ตารางเส้นทางเคอร์เนล IP
เกตเวย์ปลายทาง Genmask ตั้งค่าสถานะการอ้างอิงเมตริก ใช้ Iface
เกตเวย์เริ่มต้น 0.0.0.0 UG 100 0 0 eth0
172.27.224.0 0.0.0.0 255.255.240.0 คุณ 0 0 0 as0t0
192.168.0.0 0.0.0.0 255.255.255.0 คุณ 100 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 คุณ 0 0 0 as0t0
ฉันยังมีกฎการส่งต่อพอร์ต:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8123 -j DNAT --to-destination 192.168.2.245:8123
ปัจจุบันโฮสต์ของ 192.168.0.0/24 สามารถใช้เว็บเซิร์ฟเวอร์ที่ 192.168.2.245:8123 ได้อย่างสมบูรณ์แบบ มันใช้งานไม่ได้จากโฮสต์ของ WANเราเตอร์หลักคือ 192.168.0.251 พร้อมเส้นทางและการส่งต่อพอร์ต
แพ็กเก็ตถึง 192.168.0.61 eth0 แต่ไม่ผ่าน as0t0 และฉันไม่รู้ว่าทำไม
ตัวอย่างเช่น เมื่อโฮสต์ 192.168.0.6 ใช้เว็บเบราว์เซอร์เป็น 192.168.0.61:8123 ทั้งหมดทำงานได้อย่างสมบูรณ์
[[email protected] ~]# tcpdump -i พอร์ต eth0 8123 -n
tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง eth0, ประเภทลิงก์ EN10MB (Ethernet), ขนาดการดักจับ 262144 ไบต์
16:47:22.232044 IP 192.168.0.6.58898 > 192.168.0.61.8123: ค่าสถานะ [SEW], seq 361471277, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:47:22.305155 IP 192.168.0.61.8123 > 192.168.0.6.58898: ค่าสถานะ [S.], seq 226116772, ack 361471278, ชนะ 64240, ตัวเลือก [mss 1258,nop,nop,sackOK,nop,wscale 7], ความยาว 0
16:47:22.305722 IP 192.168.0.6.58898 > 192.168.0.61.8123: ค่าสถานะ [.], ack 1, ชนะ 1027, ความยาว 0
16:47:22.305868 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [P.], seq 1:601, ack 1, ชนะ 1027, ความยาว 600
16:47:22.446997 IP 192.168.0.61.8123 > 192.168.0.6.58898: ค่าสถานะ [.], ack 601, ชนะ 501, ความยาว 0
16:47:22.447020 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 1:170, ack 601, win 501, length 169
16:47:22.447035 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 170:230, ack 601, ชนะ 501, ยาว 60
16:47:22.447484 IP 192.168.0.6.58898 > 192.168.0.61.8123: ค่าสถานะ [.], ack 230, ชนะ 1026, ความยาว 0
16:47:22.537873 IP 192.168.0.6.58898 > 192.168.0.61.8123: Flags [P.], seq 601:1431, ack 230, ชนะ 1026, ความยาว 830
16:47:22.646742 IP 192.168.0.61.8123 > 192.168.0.6.58898: ค่าสถานะ [.], ack 1431, ชนะ 501, ความยาว 0
16:47:22.646762 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 230:400, ack 1431, ชนะ 501, ยาว 170
16:47:22.646777 IP 192.168.0.61.8123 > 192.168.0.6.58898: Flags [P.], seq 400:570, ack 1431, ชนะ 501, ยาว 170
16:47:22.647193 IP 192.168.0.6.58898 > 192.168.0.61.8123: ค่าสถานะ [.], ack 570, ชนะ 1024, ความยาว 0
...
[[email protected] ~]# tcpdump -i as0t0 พอร์ต 8123 -n
tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง as0t0, RAW ประเภทลิงค์ (Raw IP), ขนาดการจับภาพ 262144 ไบต์
16:47:22.232111 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [SEW], seq 361471277, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:47:22.305136 IP 192.168.2.245.8123 > 192.168.0.6.58898: ค่าสถานะ [S.], seq 226116772, ack 361471278, ชนะ 64240, ตัวเลือก [mss 1258,nop,nop,sackOK,nop,wscale 7], ความยาว 0
16:47:22.305863 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [.], ack 1, ชนะ 1027, ความยาว 0
16:47:22.305872 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 1:601, ack 1, ชนะ 1027, ยาว 600
16:47:22.446980 IP 192.168.2.245.8123 > 192.168.0.6.58898: ค่าสถานะ [.], ack 601, ชนะ 501, ความยาว 0
16:47:22.447013 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 1:170, ack 601, win 501, length 169
16:47:22.447030 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 170:230, ack 601, ชนะ 501, ความยาว 60
16:47:22.447495 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [.], ack 230, ชนะ 1026, ความยาว 0
16:47:22.537892 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 601:1431, ack 230, ชนะ 1026, ความยาว 830
16:47:22.646728 IP 192.168.2.245.8123 > 192.168.0.6.58898: ค่าสถานะ [.], ack 1431, ชนะ 501, ความยาว 0
16:47:22.646755 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 230:400, ack 1431, ชนะ 501, ความยาว 170
16:47:22.646771 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 400:570, ack 1431, ชนะ 501, ความยาว 170
16:47:22.647207 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [.], ack 570, ชนะ 1024, ความยาว 0
[email protected]:~ $ sudo tcpdump -i tun0 พอร์ต 8123 -n
tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง tun0, RAW ประเภทลิงก์ (Raw IP), ขนาดการจับภาพ 262144 ไบต์
16:47:22.283238 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [SEW], seq 361471277, ชนะ 64240, ตัวเลือก [mss 1258,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:47:22.283327 IP 192.168.2.245.8123 > 192.168.0.6.58898: ค่าสถานะ [S.], seq 226116772, ack 361471278, ชนะ 64240, ตัวเลือก [mss 1460,nop,nop,sackOK,nop,wscale 7], ความยาว 0
16:47:22.375692 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [.], ack 1, ชนะ 1027, ความยาว 0
16:47:22.375946 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 1:601, ack 1, ชนะ 1027, ยาว 600
16:47:22.375988 IP 192.168.2.245.8123 > 192.168.0.6.58898: ค่าสถานะ [.], ack 601, ชนะ 501, ความยาว 0
16:47:22.383365 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 1:170, ack 601, win 501, length 169
16:47:22.383586 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 170:230, ack 601, ชนะ 501, ความยาว 60
16:47:22.494391 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [.], ack 230, ชนะ 1026, ความยาว 0
16:47:22.585272 IP 192.168.0.6.58898 > 192.168.2.245.8123: Flags [P.], seq 601:1431, ack 230, ชนะ 1026, ความยาว 830
16:47:22.585325 IP 192.168.2.245.8123 > 192.168.0.6.58898: ค่าสถานะ [.], ack 1431, ชนะ 501, ความยาว 0
16:47:22.593274 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 230:400, ack 1431, ชนะ 501, ความยาว 170
16:47:22.594160 IP 192.168.2.245.8123 > 192.168.0.6.58898: Flags [P.], seq 400:570, ack 1431, ชนะ 501, ความยาว 170
16:47:22.693687 IP 192.168.0.6.58898 > 192.168.2.245.8123: ค่าสถานะ [.], ack 570, ชนะ 1024, ความยาว 0
อย่างไรก็ตาม เมื่อการถามมาจากอินเทอร์เน็ต 192.168.0.61 ได้รับการถามแต่ไม่ได้ส่งต่อผ่าน as0t0 ดังตัวอย่าง:
[[email protected] ~]# tcpdump -i พอร์ต eth0 8123 -n
tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง eth0, ประเภทลิงก์ EN10MB (Ethernet), ขนาดการดักจับ 262144 ไบต์
16:51:55.079366 IP 185.157.131.172.54673 > 192.168.0.61.8123: ค่าสถานะ [S], seq 331949659, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:55.759341 IP 185.157.131.172.54674 > 192.168.0.61.8123: ค่าสถานะ [S], seq 459540767, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:55.785218 IP 185.157.131.172.54675 > 192.168.0.61.8123: ค่าสถานะ [S], seq 3837920396, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:56.037321 IP 185.157.131.172.54676 > 192.168.0.61.8123: ค่าสถานะ [S], seq 1212264514, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:56.095399 IP 185.157.131.172.54673 > 192.168.0.61.8123: ค่าสถานะ [S], seq 331949659, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:56.775268 IP 185.157.131.172.54674 > 192.168.0.61.8123: ค่าสถานะ [S], seq 459540767, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:56.797301 IP 185.157.131.172.54675 > 192.168.0.61.8123: ค่าสถานะ [S], seq 3837920396, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:57.055209 IP 185.157.131.172.54676 > 192.168.0.61.8123: ค่าสถานะ [S], seq 1212264514, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:58.115261 IP 185.157.131.172.54673 > 192.168.0.61.8123: ค่าสถานะ [S], seq 331949659, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:58.799213 IP 185.157.131.172.54674 > 192.168.0.61.8123: ค่าสถานะ [S], seq 459540767, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:58.800187 IP 185.157.131.172.54675 > 192.168.0.61.8123: ค่าสถานะ [S], seq 3837920396, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
16:51:59.067247 IP 185.157.131.172.54676 > 192.168.0.61.8123: ค่าสถานะ [S], seq 1212264514, ชนะ 64240, ตัวเลือก [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
...
[[email protected]~]# tcpdump -i as0t0 พอร์ต 8123 -n
tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง as0t0, RAW ประเภทลิงค์ (Raw IP), ขนาดการจับภาพ 262144 ไบต์
[email protected]:~ $ sudo tcpdump -i tun0 พอร์ต 8123 -n
tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง tun0, RAW ประเภทลิงก์ (Raw IP), ขนาดการจับภาพ 262144 ไบต์
ฉันไม่ทราบว่าจะแก้ไขปัญหาต่อไปได้อย่างไร ความคิดใด ๆ
ขอบคุณ
แก้ไข 1:
[[email protected] ~]# iptables-save -c
# สร้างโดย iptables-save v1.4.21 ในวันอังคารที่ 19 ตุลาคม 16:14:28 น. 2564
* แหลกเหลว
: ยอมรับ [47:10649]
: ยอมรับอินพุต [560:148103]
:ส่งต่อ ยอมรับ [0:0]
: ยอมรับเอาต์พุต [548:147705]
:หลังยอมรับ [548:147705]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
[533:144894] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_MANGLE_PRE_REL_EST
[2:251] -A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
[533:144894] -A AS0_MANGLE_PRE_REL_EST -j ยอมรับ
[2:251] -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
[2:251] -A AS0_MANGLE_TUN -j ยอมรับ
ให้สัญญา
# เสร็จสิ้น อังคาร 19 ต.ค. 16:14:28 น. 2564
# สร้างโดย iptables-save v1.4.21 ในวันอังคารที่ 19 ตุลาคม 16:14:28 น. 2564
*ดิบ
: ยอมรับ [611:161750]
: ยอมรับเอาต์พุต [577:150493]
ให้สัญญา
# เสร็จสิ้น อังคาร 19 ต.ค. 16:14:28 น. 2564
# สร้างโดย iptables-save v1.4.21 ในวันอังคารที่ 19 ตุลาคม 16:14:28 น. 2564
*กรอง
: ยอมรับอินพุต [7:1954]
:ส่งต่อ ยอมรับ [0:0]
: ยอมรับเอาต์พุต [504:140983]
:AS0_ACCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_NAT - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_IN_ROUTE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_POST - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_U_OPENVPN_IN - [0:0]
:AS0_U_OPENVPN_OUT - [0:0]
:AS0_WEBACCEPT - [0:0]
[534:144934] -A INPUT -m state --state RELATED,ESTABLISHED -j AS0_ACCEPT
[13:780] -A อินพุต -i lo -j AS0_ACCEPT
[0:0] -A INPUT -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[2:120] -A INPUT -d 192.168.0.61/32 -p tcp -m state --state NEW -m tcp --dport 1194 -j AS0_ACCEPT
[0:0] -A INPUT -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j AS0_WEBACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 943 -j AS0_WEBACCEPT
[0:0] -A FORWARD -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j AS0_ACCEPT
[0:0] -A FORWARD -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[0:0] -A ไปข้างหน้า -o as0t+ -j AS0_OUT_S2C
[0:0] -A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
[549:145834] -A AS0_ACCEPT -j ยอมรับ
[0:0] -A AS0_IN -d 172.27.224.1/32 -j ยอมรับ
[0:0] -A AS0_IN -s 172.27.224.2/32 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -s 192.168.2.0/24 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -j AS0_IN_POST
[0:0] -A AS0_IN_NAT -j MARK --set-xmark 0x8000000/0x8000000
[0:0] -A AS0_IN_NAT -j ยอมรับ
[0:0] -A AS0_IN_POST -d 192.168.0.0/24 -j ยอมรับ
[0:0] -A AS0_IN_POST -o as0t+ -j AS0_OUT
[0:0] -A AS0_IN_POST -j DROP
[0:0] -A AS0_IN_PRE -d 169.254.0.0/16 -j AS0_IN
[0:0] -A AS0_IN_PRE -d 192.168.0.0/16 -j AS0_IN
[0:0] -A AS0_IN_PRE -d 172.16.0.0/12 -j AS0_IN
[0:0] -A AS0_IN_PRE -d 10.0.0.0/8 -j AS0_IN
[0:0] -A AS0_IN_PRE -j ลดลง
[0:0] -A AS0_IN_ROUTE -j MARK --set-xmark 0x4000000/0x4000000
[0:0] -A AS0_IN_ROUTE -j ยอมรับ
[0:0] -A AS0_OUT -d 172.27.224.2/32 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -d 192.168.2.0/24 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -j AS0_OUT_POST
[0:0] -A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A AS0_OUT_LOCAL -j ยอมรับ
[0:0] -A AS0_OUT_POST -j DROP
[0:0] -A AS0_OUT_S2C -s 192.168.0.0/24 -j ยอมรับ
[0:0] -A AS0_OUT_S2C -j AS0_OUT
[0:0] -A AS0_U_OPENVPN_IN -d 192.168.0.0/24 -j AS0_IN_ROUTE
[0:0] -A AS0_U_OPENVPN_IN -j AS0_IN_POST
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.0.0/24 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.2.0/24 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -s 172.27.224.0/20 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -j AS0_OUT_POST
[0:0] -A AS0_WEBACCEPT -j ยอมรับ
ให้สัญญา
# เสร็จสิ้น อังคาร 19 ต.ค. 16:14:28 น. 2564
# สร้างโดย iptables-save v1.4.21 ในวันอังคารที่ 19 ตุลาคม 16:14:28 น. 2564
*แนท
: ยอมรับ [36:10120]
: ยอมรับอินพุต [14:2429]
: ยอมรับเอาต์พุต [18:1141]
:หลังยอมรับ [18:1141]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
[0:0] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_PRE_REL_EST
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1883 -j DNAT --to-destination 192.168.2.245:1883
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1884 -j DNAT --to-destination 192.168.2.245:1884
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 8123 -j DNAT --to-destination 192.168.2.245:8123
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.2.245:22
[0:0] -A POSTROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_POST_REL_EST
[0:0] -A POSTROUTING -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
[0:0] -A AS0_NAT -o eth0 -j SNAT --to-source 192.168.0.61
[0:0] -A AS0_NAT -j ยอมรับ
[0:0] -A AS0_NAT_POST_REL_EST -j ยอมรับ
[0:0] -A AS0_NAT_PRE -m เครื่องหมาย --mark 0x8000000/0x8000000 -j AS0_NAT
[0:0] -A AS0_NAT_PRE -d 169.254.0.0/16 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -d 192.168.0.0/16 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -d 172.16.0.0/12 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -d 10.0.0.0/8 -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -j AS0_NAT
[0:0] -A AS0_NAT_PRE_REL_EST -j ยอมรับ
[0:0] -A AS0_NAT_TEST -o as0t+ -j ยอมรับ
[0:0] -A AS0_NAT_TEST -m เครื่องหมาย --mark 0x4000000/0x4000000 -j ยอมรับ
[0:0] -A AS0_NAT_TEST -d 192.168.0.0/24 -j ยอมรับ
[0:0] -A AS0_NAT_TEST -d 192.168.2.0/24 -j ยอมรับ
[0:0] -A AS0_NAT_TEST -d 172.27.224.0/20 -j ยอมรับ
[0:0] -A AS0_NAT_TEST -j AS0_NAT
ให้สัญญา
# เสร็จสิ้น อ. 19 ต.ค. 16:14:28 202
แก้ไข 2: ตามที่ @a-b แนะนำ ฉันให้ข้อมูลเพิ่มเติมเกี่ยวกับโครงร่างเครือข่าย เนื่องจากมีอุโมงค์ openVPN (การกำหนดเส้นทาง) ซึ่งอาจกรองแพ็กเก็ตบางส่วน อุโมงค์ openVPN แสดงเป็นเรย์
ในตัวอย่าง 192.168.0.6 สามารถผ่านอุโมงค์ได้ แต่ public ip (185.157.131.172) ไม่ได้
ตามคำแนะนำของ @A.B ฉันดูการตั้งค่า OpenVPN AS ซึ่งสร้างกฎ iptables จำนวนมาก ฉันแก้ไขหนึ่งฟิลด์นั่นคือ:
การกำหนดเส้นทาง
ระบุซับเน็ตส่วนตัวที่ไคลเอนต์ทั้งหมดควรได้รับการเข้าถึง (หนึ่งรายการต่อบรรทัด):
192.168.0.0/24
โดย:
การกำหนดเส้นทาง
ระบุซับเน็ตส่วนตัวที่ไคลเอนต์ทั้งหมดควรได้รับการเข้าถึง (หนึ่งรายการต่อบรรทัด):
192.168.0.0/24
0.0.0.0/0
ตอนนี้แพ็กเก็ตที่มี IP สาธารณะถูกส่งต่อจาก eth0 ถึง as0t0 โดยไม่มีปัญหาและทั้งหมดกำลังทำงานอยู่
ถ้าตอนนี้ฉันทำ iptables-save -c ฉันจะได้รับ:
[[email protected] ~]# iptables-save -c
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
* แหลกเหลว
: ยอมรับ [232:55794]
: ยอมรับอินพุต [2986:381728]
:ส่งต่อ ยอมรับ [15:2541]
: ยอมรับเอาต์พุต [2929:1099682]
: ยอมรับภายหลัง [2944:1102223]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
[2899:374408] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_MANGLE_PRE_REL_EST
[12:1506] -A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
[2899:374408] -A AS0_MANGLE_PRE_REL_EST -j ยอมรับ
[12:1506] -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
[12:1506] -A AS0_MANGLE_TUN -j ยอมรับ
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ต.ค. 16:25:06 น. 2564
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
*ดิบ
: ยอมรับ [3175:434235]
: ยอมรับเอาต์พุต [2972:1103685]
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ต.ค. 16:25:06 น. 2564
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
*กรอง
: ยอมรับอินพุต [61:5708]
:ส่งต่อ ยอมรับ [0:0]
: ยอมรับเอาต์พุต [2839:1062541]
:AS0_ACCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_NAT - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_IN_ROUTE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_POST - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_U_OPENVPN_IN - [0:0]
:AS0_U_OPENVPN_OUT - [0:0]
:AS0_WEBACCEPT - [0:0]
[2900:374448] -A INPUT -m state --state RELATED,ESTABLISHED -j AS0_ACCEPT
[14:840] -A อินพุต -i lo -j AS0_ACCEPT
[0:0] -A INPUT -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[1:60] -A INPUT -d 192.168.0.61/32 -p tcp -m state --state NEW -m tcp --dport 1194 -j AS0_ACCEPT
[0:0] -A INPUT -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j AS0_WEBACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 943 -j AS0_WEBACCEPT
[0:0] -A FORWARD -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j AS0_ACCEPT
[0:0] -A FORWARD -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[15:2541] -A ไปข้างหน้า -o as0t+ -j AS0_OUT_S2C
[0:0] -A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
[2915:375348] -A AS0_ACCEPT -j ยอมรับ
[0:0] -A AS0_IN -d 172.27.224.1/32 -j ยอมรับ
[0:0] -A AS0_IN -s 172.27.224.2/32 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -s 192.168.2.0/24 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -j AS0_IN_POST
[0:0] -A AS0_IN_NAT -j MARK --set-xmark 0x8000000/0x8000000
[0:0] -A AS0_IN_NAT -j ยอมรับ
[0:0] -A AS0_IN_POST -j ยอมรับ
[0:0] -A AS0_IN_POST -o as0t+ -j AS0_OUT
[0:0] -A AS0_IN_POST -j DROP
[0:0] -A AS0_IN_PRE -j AS0_IN
[0:0] -A AS0_IN_PRE -j ลดลง
[0:0] -A AS0_IN_ROUTE -j MARK --set-xmark 0x4000000/0x4000000
[0:0] -A AS0_IN_ROUTE -j ยอมรับ
[0:0] -A AS0_OUT -d 172.27.224.2/32 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -d 192.168.2.0/24 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -j AS0_OUT_POST
[0:0] -A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A AS0_OUT_LOCAL -j ยอมรับ
[0:0] -A AS0_OUT_POST -j DROP
[15:2541] -A AS0_OUT_S2C -j ยอมรับ
[0:0] -A AS0_OUT_S2C -j AS0_OUT
[0:0] -A AS0_U_OPENVPN_IN -d 192.168.0.0/24 -j AS0_IN_ROUTE
[0:0] -A AS0_U_OPENVPN_IN -j AS0_IN_POST
[0:0] -A AS0_U_OPENVPN_OUT -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.2.0/24 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -s 172.27.224.0/20 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -j AS0_OUT_POST
[0:0] -A AS0_WEBACCEPT -j ยอมรับ
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ต.ค. 16:25:06 น. 2564
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
*แนท
: ยอมรับ [207:53029]
: ยอมรับอินพุต [63:5230]
: ยอมรับเอาต์พุต [19:1202]
:หลังยอมรับ [21:1562]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
[0:0] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_PRE_REL_EST
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1883 -j DNAT --to-destination 192.168.2.245:1883
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1884 -j DNAT --to-destination 192.168.2.245:1884
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 8123 -j DNAT --to-destination 192.168.2.245:8123
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.2.245:22
[0:0] -A POSTROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_POST_REL_EST
[0:0] -A POSTROUTING -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
[0:0] -A AS0_NAT -o eth0 -j SNAT --to-source 192.168.0.61
[0:0] -A AS0_NAT -j ยอมรับ
[0:0] -A AS0_NAT_POST_REL_EST -j ยอมรับ
[0:0] -A AS0_NAT_PRE -m เครื่องหมาย --mark 0x8000000/0x8000000 -j AS0_NAT
[0:0] -A AS0_NAT_PRE -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -j AS0_NAT
[0:0] -A AS0_NAT_PRE_REL_EST -j ยอมรับ
[0:0] -A AS0_NAT_TEST -o as0t+ -j ยอมรับ
[0:0] -A AS0_NAT_TEST -m เครื่องหมาย --mark 0x4000000/0x4000000 -j ยอมรับ
[0:0] -A AS0_NAT_TEST -j ยอมรับ
[0:0] -A AS0_NAT_TEST -j AS0_NAT
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021[root@centoscwp ~]# iptables-save -c
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
* แหลกเหลว
: ยอมรับ [232:55794]
: ยอมรับอินพุต [2986:381728]
:ส่งต่อ ยอมรับ [15:2541]
: ยอมรับเอาต์พุต [2929:1099682]
: ยอมรับภายหลัง [2944:1102223]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
[2899:374408] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_MANGLE_PRE_REL_EST
[12:1506] -A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
[2899:374408] -A AS0_MANGLE_PRE_REL_EST -j ยอมรับ
[12:1506] -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
[12:1506] -A AS0_MANGLE_TUN -j ยอมรับ
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ต.ค. 16:25:06 น. 2564
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
*ดิบ
: ยอมรับ [3175:434235]
: ยอมรับเอาต์พุต [2972:1103685]
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ต.ค. 16:25:06 น. 2564
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
*กรอง
: ยอมรับอินพุต [61:5708]
:ส่งต่อ ยอมรับ [0:0]
: ยอมรับเอาต์พุต [2839:1062541]
:AS0_ACCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_NAT - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_IN_ROUTE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_POST - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_U_OPENVPN_IN - [0:0]
:AS0_U_OPENVPN_OUT - [0:0]
:AS0_WEBACCEPT - [0:0]
[2900:374448] -A INPUT -m state --state RELATED,ESTABLISHED -j AS0_ACCEPT
[14:840] -A อินพุต -i lo -j AS0_ACCEPT
[0:0] -A INPUT -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[1:60] -A INPUT -d 192.168.0.61/32 -p tcp -m state --state NEW -m tcp --dport 1194 -j AS0_ACCEPT
[0:0] -A INPUT -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j AS0_WEBACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 943 -j AS0_WEBACCEPT
[0:0] -A FORWARD -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j AS0_ACCEPT
[0:0] -A FORWARD -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_IN_PRE
[15:2541] -A ไปข้างหน้า -o as0t+ -j AS0_OUT_S2C
[0:0] -A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
[2915:375348] -A AS0_ACCEPT -j ยอมรับ
[0:0] -A AS0_IN -d 172.27.224.1/32 -j ยอมรับ
[0:0] -A AS0_IN -s 172.27.224.2/32 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -s 192.168.2.0/24 -j AS0_U_OPENVPN_IN
[0:0] -A AS0_IN -j AS0_IN_POST
[0:0] -A AS0_IN_NAT -j MARK --set-xmark 0x8000000/0x8000000
[0:0] -A AS0_IN_NAT -j ยอมรับ
[0:0] -A AS0_IN_POST -j ยอมรับ
[0:0] -A AS0_IN_POST -o as0t+ -j AS0_OUT
[0:0] -A AS0_IN_POST -j DROP
[0:0] -A AS0_IN_PRE -j AS0_IN
[0:0] -A AS0_IN_PRE -j ลดลง
[0:0] -A AS0_IN_ROUTE -j MARK --set-xmark 0x4000000/0x4000000
[0:0] -A AS0_IN_ROUTE -j ยอมรับ
[0:0] -A AS0_OUT -d 172.27.224.2/32 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -d 192.168.2.0/24 -j AS0_U_OPENVPN_OUT
[0:0] -A AS0_OUT -j AS0_OUT_POST
[0:0] -A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A AS0_OUT_LOCAL -j ยอมรับ
[0:0] -A AS0_OUT_POST -j DROP
[15:2541] -A AS0_OUT_S2C -j ยอมรับ
[0:0] -A AS0_OUT_S2C -j AS0_OUT
[0:0] -A AS0_U_OPENVPN_IN -d 192.168.0.0/24 -j AS0_IN_ROUTE
[0:0] -A AS0_U_OPENVPN_IN -j AS0_IN_POST
[0:0] -A AS0_U_OPENVPN_OUT -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.2.0/24 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -s 172.27.224.0/20 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -j AS0_OUT_POST
[0:0] -A AS0_WEBACCEPT -j ยอมรับ
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ต.ค. 16:25:06 น. 2564
# สร้างโดย iptables-save v1.4.21 เมื่อวันพุธที่ 20 ตุลาคม 16:25:06 น. 2021
*แนท
: ยอมรับ [207:53029]
: ยอมรับอินพุต [63:5230]
: ยอมรับเอาต์พุต [19:1202]
:หลังยอมรับ [21:1562]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
[0:0] -A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_PRE_REL_EST
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1883 -j DNAT --to-destination 192.168.2.245:1883
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 1884 -j DNAT --to-destination 192.168.2.245:1884
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 8123 -j DNAT --to-destination 192.168.2.245:8123
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.2.245:22
[0:0] -A POSTROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_POST_REL_EST
[0:0] -A POSTROUTING -m เครื่องหมาย --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
[0:0] -A AS0_NAT -o eth0 -j SNAT --to-source 192.168.0.61
[0:0] -A AS0_NAT -j ยอมรับ
[0:0] -A AS0_NAT_POST_REL_EST -j ยอมรับ
[0:0] -A AS0_NAT_PRE -m เครื่องหมาย --mark 0x8000000/0x8000000 -j AS0_NAT
[0:0] -A AS0_NAT_PRE -j AS0_NAT_TEST
[0:0] -A AS0_NAT_PRE -j AS0_NAT
[0:0] -A AS0_NAT_PRE_REL_EST -j ยอมรับ
[0:0] -A AS0_NAT_TEST -o as0t+ -j ยอมรับ
[0:0] -A AS0_NAT_TEST -m เครื่องหมาย --mark 0x4000000/0x4000000 -j ยอมรับ
[0:0] -A AS0_NAT_TEST -j ยอมรับ
[0:0] -A AS0_NAT_TEST -j AS0_NAT
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 20 ต.ค. 16:25:06 น. 2564
อย่างที่คุณเห็นการเปลี่ยนแปลงกฎบางอย่าง เช่น: ก่อน:
[0:0] -A AS0_IN_POST -d 192.168.0.0/24 -j ยอมรับ
[0:0] -A AS0_OUT_S2C -s 192.168.0.0/24 -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -s 192.168.0.0/24 -j ยอมรับ
[0:0] -A AS0_NAT_PRE -d 192.168.0.0/16 -j AS0_NAT_TEST
หลังจาก:
[0:0] -A AS0_IN_POST -j ยอมรับ
[15:2541] -A AS0_OUT_S2C -j ยอมรับ
[0:0] -A AS0_U_OPENVPN_OUT -j ยอมรับ
[0:0] -A AS0_NAT_PRE -j AS0_NAT_TEST
ฉันแนบภาพหน้าจอของการตั้งค่า OpenVPN ที่ฉันเปลี่ยนแปลง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
