nat+dhcp+openvpn+bing9

Автор sadam112, 15 декабря 2018, 13:08:36

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

sadam112

Доброго времени суток. Я сам не смог справиться так как не знаю в чем проблема. Помогите решить задачку.
Есть сервер с дебиан на нем поднят openvpn и поднимается сам. Вроде все гуд. Подключилась локальная сеть пк и sip телефоны , если подключать через роутер то телефоны выходят в сеть и звонят. Подключаю к маштрутизатору (хаб на 24 порта ) все телефоны и пк и поднимаю isc-dhcp-server и bind9 . вроде все нормально. arp -a показывает что они подключились. Беру ноут и иду на втыкать в розетки из под телефонов чтоб посмотреть если ли интернет. А он есть. Смотрю на яндекс картах география почему то ПРАВИЛЬНАЯ , а должна быть через впн. думаю потом разберусь.
Подключаю телефон и вкл питание , он видит кабель но при звонке пишет account invalid , с роутером такой надписи не было

04:58:45.204726 IP 81.88.82.245.http > 192.168.100.3.52681: Flags [.], seq 1:1324, ack 230, win 60, length 1323: HTTP: HTTP/1.1 500 Internal Server Error.

Топология такая - в офисе стоит пк исполняющий роль dpch+bind9+nat . Интернет от провайдера приходит на enp2s0 с помощью iptables сделал nat ( sysctl.conf раскомментировал , не забыл ) и планировалось что весь без исключения исходящий трафик с локалки enp3s0 будет выходить на tap0 , но как сказано выше при проверке ноутбуком и подключением это не так. Скорее всего это связанно с iptables что я не правильно вывожу трафик. Подскажите что не так я сделал. Чтоб было проще писать правила и применять их, я создал файлик куда их записываю и добавляю в авто при старте ( они тоже есть ниже)

Суть выше изложеного :
1. Не работает переброс трафика с enp3s0 на tap0 для работы локальной сети через впн сервер, хотя сам пк через него работает
2. Не наработают телефоны из-за пк на котором подняты службы и нужно что то дописать в iptables ,, о я не знаю что

ifconfig nat-pc-office
Открыть содержимое (спойлер)
root@15:/home/sadam# ifconfig
enp2s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.0.143.73  netmask 255.255.255.192  broadcast 10.0.143.127
        inet6 fe80::523e:aaff:fe05:b181  prefixlen 64  scopeid 0x20<link>
        ether 50:3e:aa:05:b1:81  txqueuelen 1000  (Ethernet)
        RX packets 228759  bytes 151060187 (144.0 MiB)
        RX errors 0  dropped 1218  overruns 0  frame 0
        TX packets 182532  bytes 52883048 (50.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.1  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::dacb:8aff:fe68:109c  prefixlen 64  scopeid 0x20<link>
        ether d8:cb:8a:68:10:9c  txqueuelen 1000  (Ethernet)
        RX packets 110338  bytes 15141439 (14.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 99698  bytes 79778084 (76.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 121881  bytes 45382065 (43.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 121881  bytes 45382065 (43.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.1.0.2  netmask 255.255.255.0  broadcast 10.1.0.255
        inet6 fe80::843e:f1ff:fec4:88dc  prefixlen 64  scopeid 0x20<link>
        ether 86:3e:f1:c4:88:dc  txqueuelen 100  (Ethernet)
        RX packets 201933  bytes 139146816 (132.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 226076  bytes 35387943 (33.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@15:/home/sadam#
[свернуть]

iptables-save server
Открыть содержимое (спойлер)
# iptables-save
# Generated by iptables-save v1.6.1 on Sat Dec 15 10:54:20 2018
*nat
:PREROUTING ACCEPT [868:45996]
:INPUT ACCEPT [214:12840]
:OUTPUT ACCEPT [2:168]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source 176.9.23.183
-A POSTROUTING -s 10.1.0.0/24 -o enp2s0 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o tap0 -j MASQUERADE
COMMIT
# Completed on Sat Dec 15 10:54:20 2018
# Generated by iptables-save v1.6.1 on Sat Dec 15 10:54:20 2018
*filter
:INPUT DROP [152:7357]
:FORWARD DROP [188:8800]
:OUTPUT ACCEPT [7:588]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A INPUT -i enp2s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A FORWARD -i tap0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tap0 -o enp2s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp2s0 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp2s0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -j ACCEPT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 22 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 1194 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sat Dec 15 10:54:20 2018
[свернуть]
На сервере
Открыть содержимое (спойлер)
root@Ubuntu-1804-bionic-64-minimal ~ # traceroute 192.168.100.7
traceroute to 192.168.100.7 (192.168.100.7), 30 hops max, 60 byte packets
^[[A^[[A^[^Z
[4]+  Stopped                 traceroute 192.168.100.7
root@Ubuntu-1804-bionic-64-minimal ~ # traceroute 192.168.100.7
traceroute to 192.168.100.7 (192.168.100.7), 30 hops max, 60 byte packets
^Z
[5]+  Stopped                 traceroute 192.168.100.7
root@Ubuntu-1804-bionic-64-minimal ~ # ping 192.168.100.1
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=1.57 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=3.41 ms
64 bytes from 192.168.100.1: icmp_seq=3 ttl=64 time=0.614 ms
^X^Z
[6]+  Stopped                 ping 192.168.100.1
root@Ubuntu-1804-bionic-64-minimal ~ # ping 192.168.100.7
PING 192.168.100.7 (192.168.100.7) 56(84) bytes of data.
^Z
[7]+  Stopped                 ping 192.168.1
[свернуть]

iptables-save nat-pc-office
Открыть содержимое (спойлер)
root@15:/home/sadam# iptables-save
# Generated by iptables-save v1.6.0 on Sat Dec 15 04:57:16 2018
*mangle
:PREROUTING ACCEPT [190684:54919999]
:INPUT ACCEPT [179535:50582553]
:FORWARD ACCEPT [11149:4337446]
:OUTPUT ACCEPT [190250:50655263]
:POSTROUTING ACCEPT [201405:54993485]
COMMIT
# Completed on Sat Dec 15 04:57:16 2018
# Generated by iptables-save v1.6.0 on Sat Dec 15 04:57:16 2018
*nat
:PREROUTING ACCEPT [323:32116]
:INPUT ACCEPT [21:12096]
:OUTPUT ACCEPT [110:7025]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o enp3s0 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o enp3s0 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o enp3s0 -j MASQUERADE
COMMIT
# Completed on Sat Dec 15 04:57:16 2018
# Generated by iptables-save v1.6.0 on Sat Dec 15 04:57:16 2018
*filter
:INPUT ACCEPT [62458:14297489]
:FORWARD ACCEPT [2190:357200]
:OUTPUT ACCEPT [67180:17922053]
-A INPUT -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -i enp2s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i enp2s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i enp2s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i enp2s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i enp2s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i enp3s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i enp3s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp2s0 -o enp3s0 -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp2s0 -o enp3s0 -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp2s0 -o enp3s0 -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp2s0 -o enp3s0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp2s0 -o enp3s0 -j ACCEPT
-A FORWARD -i tap0 -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp3s0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -j ACCEPT
-A FORWARD -s 192.168.0.0/28 -i enp3s0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -j ACCEPT
COMMIT
# Completed on Sat Dec 15 04:57:16 2018
root@15:/home/sadam#
[свернуть]
tcpdump nat-pc-office
Открыть содержимое (спойлер)
root@15:/home/sadam# tcpdump -i enp3s0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
04:58:44.671794 IP 192.168.100.3.36049 > 81.88.86.35.60000: UDP, length 620
04:58:44.751998 IP 81.88.86.35.60000 > 192.168.100.3.36049: UDP, length 499
04:58:44.761203 IP 192.168.100.3.36049 > 81.88.86.35.60000: UDP, length 885
04:58:44.927911 IP 81.88.86.35.60000 > 192.168.100.3.36049: UDP, length 374
04:58:44.963913 IP 192.168.100.3.52681 > 81.88.82.245.http: Flags , seq 3888390359, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 2], length 0
04:58:45.042174 IP 81.88.82.245.http > 192.168.100.3.52681: Flags [S.], seq 2860853750, ack 3888390360, win 29200, options [mss 1323,nop,nop,sackOK,nop,wscale 9], length 0
04:58:45.042681 IP 192.168.100.3.52681 > 81.88.82.245.http: Flags [.], ack 1, win 3650, length 0
04:58:45.158210 IP 81.88.82.245.http > 192.168.100.3.52681: Flags [.], ack 230, win 60, length 0
04:58:45.204726 IP 81.88.82.245.http > 192.168.100.3.52681: Flags [.], seq 1:1324, ack 230, win 60, length 1323: HTTP: HTTP/1.1 500 Internal Server Error
04:58:45.204746 IP 81.88.82.245.http > 192.168.100.3.52681: Flags [.], seq 1324:2647, ack 230, win 60, length 1323: HTTP
04:58:45.205513 IP 192.168.100.3.52681 > 81.88.82.245.http: Flags [.], ack 1324, win 4312, length 0
04:58:49.795069 ARP, Request who-has 192.168.100.3 tell 15, length 28
04:58:49.795398 ARP, Reply 192.168.100.3 is-at 80:5e:c0:17:80:c3 (oui Unknown), length 46
04:58:52.321444 IP 192.168.100.3.bootpc > 15.bootps: BOOTP/DHCP, Request from 80:5e:c0:17:80:c3 (oui Unknown), length 548
04:58:52.368125 IP 15.bootps > 192.168.100.3.bootpc: BOOTP/DHCP, Reply, length 300
04:58:52.370223 ARP, Request who-has 192.168.100.3 tell 0.0.0.0, length 46
04:58:54.517763 IP 192.168.100.3.34094 > google-public-dns-a.google.com.domain: 121+ A? cn.pool.ntp.org. (33)
04:58:54.617384 IP google-public-dns-a.google.com.domain > 192.168.100.3.34094: 121 2/0/0 A 5.79.108.34, A 108.59.2.24 (65)
04:58:54.619218 IP 192.168.100.3.35640 > ntp1.ams1.nl.leaseweb.net.ntp: NTPv3, Client, length 48
04:58:54.748324 IP ntp1.ams1.nl.leaseweb.net.ntp > 192.168.100.3.35640: NTPv3, Server, length 48
^Z
[5]+  Stopped                 tcpdump -i enp3s0
root@15:/home/sadam#
[свернуть]

script auto start rules iptables (pc office)

Открыть содержимое (спойлер)
iptables -A FORWARD -i enp3s0 -o tap0 -s 192.168.0.0/28 -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
iptables -A INPUT -i enp3s0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE
iptables -A FORWARD -i tap0 -j ACCEPT
ip route add default via 10.1.0.1
[свернуть]

sadam112

#1
Я нашел такие правила не знаю запуститься nat с выходим на tap0 еще не проверить

КЛиент Правила

Открыть содержимое (спойлер)
#!/bin/bash

#Включаем форвардинг пакетов (обязательно !!! )
echo «1» > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
#modprobe ip_nat_pptp

# Очищаем все правила
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Разрешаем сразу всё
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -o enp3s0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i enp3s0 -o tap0 -j ACCEPT

# Разрешаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i tap0 -o enp3s0 -j ACCEPT

# Маскарадинг
# Куда перебрасывать пакеты из локальной сети
iptables -t nat -A POSTROUTING -o tap0 -s 10.1.0.0/24 -j MASQUERADE

# Проброс портов // Переброс порта 21 с интерфейса enp3s0 на IP в локальной сети 10.1.0.1
# iptables -t nat -A PREROUTING -p tcp --dport 21 -i enp3s0 -j DNAT --to 10.1.0.1

# NAT
iptables -A POSTROUTING -s 192.168.100.0/24 -o enp3s0 -j SNAT --to-source 10.1.0.1

iptables -A PREROUTING -i tap0 -p tcp -m tcp --dport 3000:65000 -j DNAT --to-destination 192.168.100.1
# ping lo
iptables -A INPUT -i lo -j ACCEPT
#
iptables -A INPUT -i tap0 -s 192.168.0.0/24 -j ACCEPT
[свернуть]

Сервер правила
Открыть содержимое (спойлер)
#!/bin/bash

#Включаем форвардинг пакетов (обязательно !!! )
echo «1» > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_nat_pptp

# Очищаем все правила
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Разрешаем сразу всё
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -o enp33 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i tap0 -o enp33 -j ACCEPT
iptables -A INPUT -i tap0 -s 192.168.0.0/24 -j ACCEPT
iptables –t nat –A POSTROUTING –o tap0 –s 192.168.100.0/24 \ -j SNAT --to-source ***.*.23.183
iptables –A FORWARD –p tcp –i tap0 –j ACCEPT
[свернуть]