Ich habe 2 VPS. Der erste hat OpenVPN und ich muss von meinem VPN aus auf eth1 auf dem zweiten VPS zugreifen.
VPS Nr. 1
- eth0-WAN xxx.xxx.19.106
- eth1-LAN 10.108.0.2/20
- tun0 - OpenVPN 10.8.0.1/24
VPS Nr. 2
- eth1-LAN 10.108.0.3/20
Ich muss die iptables-Konfiguration für VPS Nr. 1 kennen, damit ich vom OpenVPN (tun0-10.8.0.1/24) auf das eth1-LAN 10.108.0.3/20 auf dem 2. VPS zugreifen kann. Ich versuche, per SSH von einem mit OpenVPN verbundenen Computer auf den 2. VPS zuzugreifen, aber das geht nicht. Aber ich greife per SSH auf den 1. VPS zu und von der Konsole aus kann ich per SSH auf den 2. VPS zugreifen.
SSH (Port22)
eth1-LAN (10.108.0.2/20) => eth1-LAN (10.108.0.3/20)........Funktioniert
SSH (Port22)
tun0-OpenVPN (10.8.0.1/24) => eth1-LAN (10.108.0.3/20)........NICHTArbeiten
Danke, Arturbio
Antwort1
Um SSH-Zugriff von der OpenVPN-Schnittstelle (tun0) auf die LAN-Schnittstelle (eth1) des zweiten VPS zu ermöglichen, müssen Sie iptables auf dem ersten VPS so konfigurieren, dass der Datenverkehr von der OpenVPN-Schnittstelle an die LAN-Schnittstelle weitergeleitet wird. Hier sind die iptables-Befehle, die Sie hierfür verwenden können:
iptables -A FORWARD -i tun0 -o eth1 -d 10.108.0.3/20 -p tcp --dport 22 -j ACCEPT – Dieser Befehl fügt der FORWARD-Kette eine Regel hinzu, die Datenverkehr von der OpenVPN-Schnittstelle (tun0) zur LAN-Schnittstelle (eth1) des zweiten VPS zulässt, wenn die Ziel-IP im Bereich 10.108.0.3/20 liegt und der Zielport 22 ist (für SSH).
iptables -A FORWARD -i eth1 -o tun0 -s 10.108.0.3/20 -p tcp --sport 22 -j ACCEPT – Dieser Befehl fügt der FORWARD-Kette eine Regel hinzu, die Datenverkehr von der LAN-Schnittstelle (eth1) des zweiten VPS zur OpenVPN-Schnittstelle (tun0) zulässt, wenn die Quell-IP im Bereich 10.108.0.3/20 liegt und der Quellport 22 ist (für SSH).
iptables -A POSTROUTING -t nat -o eth1 -s 10.8.0.0/24 -j SNAT --to-source 10.108.0.2 – Dieser Befehl fügt der POSTROUTING-Kette eine Regel hinzu, die es ermöglicht, die Quell-IP-Adresse des Pakets in die IP-Adresse der eth1-Schnittstelle des ersten VPS (10.108.0.2) zu ändern, bevor es die eth1-Schnittstelle verlässt, sodass es aussieht, als käme es von der IP des ersten VPS.
iptables -A INPUT -i tun0 -p tcp --dport 22 -j ACCEPT - Dieser Befehl fügt der INPUT-Kette eine Regel hinzu, die eingehenden SSH-Verkehr auf der tun0-Schnittstelle zulässt.
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT - Dieser Befehl fügt der INPUT-Kette eine Regel hinzu, die eingehenden SSH-Verkehr auf der eth1-Schnittstelle zulässt.
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT - Dieser Befehl fügt der INPUT-Kette eine Regel hinzu, die eingehenden SSH-Verkehr auf der eth0-Schnittstelle zulässt.
iptables -A INPUT -i lo -j ACCEPT - Dieser Befehl fügt der INPUT-Kette eine Regel hinzu, die eingehenden Datenverkehr auf der Loopback-Schnittstelle zulässt.
iptables -P INPUT DROP & iptables -P FORWARD DROP & iptables -P OUTPUT DROP - Diese Befehle setzen die Standardrichtlinie für die INPUT-, FORWARD- und OUTPUT-Ketten auf DROP. Dies bedeutet, dass jeglicher Datenverkehr, der keiner der vorherigen Regeln entspricht, gelöscht wird.
Um diese Regeln auch nach einem Neustart bestehen zu lassen, müssen Sie die Befehle iptables-save und iptables-restore verwenden.