linux的pptp服务器网络配置

一、iptables的相关知识

1、这张图很重要,让我们明白iptables各个chain的流程关系

linux的pptp服务器网络配置

2、整个chain是从prerouting入,到postrouting出。

     input和output都是针对运行中的监听进程而言,不是网卡,也不是主机。

     数据包到路由,路由通过路由表判断数据包的目的地。如果目的地是本机,就把数据包转给intput。如果目的地不是本机,则把数据包转给forward处理,通过forward处理后,再转给postrouting处理。

3、table:filter和nat

     filter,只操作与本机有关的数据包。相关的chain有input、output、forward

     nat,用于NAT地址转换。只有数据流的第一个数据包被这个链匹配,后面的包会自动做相同的处理。相关的chain有prerouting、postrouting、output。

     iptables操作的默认是filter表,如果要操作nat加-t nat

4、nat的方式:DNAT、SNAT、MASQUERADE

     DNAT,目标地址转换,即替换数据包的目标地址,可用于将访问重定向到其他主机。需用--to-destination指定新目标地址。

     SNAT,源地址转换,替换数据包的源地址,隐藏本地网络,内网对外网的访问。需用--to-source指定新源地址。

     MASQUERADE,也是源地址转换,与SNAT不同的是,不需要指定新源地址,而是自动去取得主机的IP,因而系统开销更大,适用于非固定IP的情况,如ADSL。

二、pptp的网络

我们通过pptp来构建一个vpn,用于我们在家里访问单位的内部网络。

可以理解为三个物理网络,家里的无线路由(局域网),互联网,单位的内网。

在单位内网与互联网之间布署pptp主机,在家里通过pptp协议连接到pptp主机后,获得一个新的IP,从而在构建了一个新的局域网。不管有多少人连接到了pptp主机,我们不会知道,也不能访问他们。可以说在这个局域网里只有两台机器,一个是家里的电脑,一个是pptp主机,这也正是点对点的意思。

有了这个新的局域网,pptp主机就是我们的新网关,通过他就可以访问到单位的内网了,当然需要在pptp主机上设置数据包在eth口与ppp口之间forward,以及设置SNAT或是DNAT。

三、pptp主机网络设置

1、设置net.ipv4.ip_forward = 1允许转发

2、允许pptp协议通过

iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p gre -j ACCEPT

iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT

3、设置在ppp与eth之间转发,有多少客户连接在pptp主机上就有多少ppp端口

iptables -A FORWARD -i ppp+ -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp+ -j ACCEPT

4、在访问单位内网时,将源地址,也就是连接到pptp主机后获得的新IP转换为pptp主机的内网ip

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.16.1.1

只需做SNAT就好,数据返回到客户机不需要再做设置,系统会自动完成。

也可做成目标地址转换,即通过访问pptp主机的ppp接口ip,来重定向到内网主机

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 192.168.0.1 -j DNAT --to-destination 172.16.1.2

不管是SNAT还是DNAT都应做FORWARD。

iptables:

http://kuangkuang.blog.51cto.com/838/247230/

pptp安装配置:

https://www.painso.com/linux-xen-openvz-pptp-services.html

http://www.51cto.com/art/200812/102721.htm

http://www.android100.org/html/201407/28/47493.html

相关推荐