https://www.opennet.ru/openforum/vsluhforumID1/81413.html <br>Есть гейт (linux) с интерфейсами:<br>eth0 - глобальнвя сеть - xxx.xxx.xxx.13<br>eth1 - локальная сеть - 192.168.0.x<br>В локальной сети есть комп VPN server (windows) нужно прокинуть pptp+gre с любого ip из глобальной сети в локальную<br><br>Делаю вот так:<br><br>/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.13 -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201<br>/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT<br>/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p gre -j DNAT --to-destination 192.168.0.201<br><br>но получаю вот это:<br>Jul 30 22:36:04 hydra kernel: firewall: IN=eth0 OUT=eth1 SRC=xxx.xxx.xxx.10 DST=192.168.0.201 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=51916 DF PROTO=TCP SPT=4181 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0<br><br>С xxx.xxx.xxx.10 я "прихожу".<br>Если же разрещаю любые запросы с Ip xxx.xxx.xxx.10 (для отладки) то корекшн на порт 1723 проходит, но соединение VPN не устанавливается на этапе проверки имени и пароля (режется gre???)<br><br>Подскажите что не ве https://www.opennet.ru/openforum/vsluhforumID1/81413.html#9 Fri, 01 Aug 2008 14:31:05 GMT &gt;PS: :) ""Others may prefer packages like firehol, shorewall, firestarter, ipmenu, fireflier, <br>&gt;ferm, firewall-easy, fwbuilder-iptables, fwctl, gfcc, lokkit, gnome-lokkit, guarddog, hlfl, knetfilter, mason, <br>&gt;lokkit, easyfw, fiaif, filtergen, guidedog, or uif -- just to name <br>&gt;some that are packaged for Debian, to configure maintain packet filtering <br>&gt;rules."" http://www.opennet.ru/openforum/vsluhforumID3/42161.html#11 <br>&gt;((В Debian (и "выведенных" из): <br>&gt;$ aptitude search ~Diptables <br>&gt;покажет часть пакетов из этого списка. $) Спасибо - http://www.opennet.ru/tips/info/1566.shtml )) <br><br>Пофигу, каждый юзает то что ему больше нравится. Мне вот больше нравится ручное набивание правил а-ля redhat. И вот именно такого варианта в дебиане нету - пришлось собственный порт редхатовского сервиса писать.<br> https://www.opennet.ru/openforum/vsluhforumID1/81413.html#8 Fri, 01 Aug 2008 13:09:34 GMT &gt;[оверквотинг удален]<br>&gt;/sbin/iptables -N pptp <br>&gt;/sbin/iptables -A pptp -p tcp --destination-port 1723 --dst $vpnserver -j ACCEPT <br>&gt;/sbin/iptables -A pptp -p 47 --dst $vpnserver -j ACCEPT <br>&gt;/sbin/iptables -I FORWARD -j pptp <br>&gt;/sbin/iptables -t nat -N pptp <br>&gt;/sbin/iptables -t nat -A pptp -i $IF_DEV -p tcp --dport 1723 -j <br>&gt;DNAT --to $vpnserver:1723 <br>&gt;/sbin/iptables -t nat -A pptp -i $IF_DEV -p 47 -j DNAT --to <br>&gt;$vpnserver <br>&gt;/sbin/iptables -t nat -A PREROUTING -j pptp <br><br>Спасибо Геннадий, все получилось.<br> https://www.opennet.ru/openforum/vsluhforumID1/81413.html#7 Fri, 01 Aug 2008 08:29:05 GMT &gt;ну и нафиг генераторы которые генерят правил в десяток раз больше ? <br><br>Не поверишь, так _проще_. Посмотри на основной firehol.conf -- пять _коротеньких_ строчек с кепкой. ((BTW, я не сказал, что правила я руками делаю -- на "показать" в форуме, а в "боевых" системах у меня в "автозапуске" стоит сам firehol с "правильным" конфигом? :) И на [низкоуровневые] правила я не смотрю, когда "всё работает"(тм).))<br><br>Сравни с _любым_ самописным скриптом-файерволом на шеле многократно вызывающим $IPTABLES. Обрати внимание, что firehol создаёт stateful набор правил, что вряд ли делает (осиливает?) хотябы 1 из 10 писателей-"ассемблеристов" от /sbin/iptables. Потом окинь взглядом ландшафт форумов здесь с вопросами "я тут... iptables... скрипт... Оцените, чего я сделал не так? И почему добавляю одну строчку -- и не работает? И вообще не работает... :`( ни разу!"<br><br>Если тебя смущает "качество кода": 1) _не_ факт, что этот вариант вообще _медленнее_ или чем-то хуже; 2) генерацией _кода_ должен заниматься компьютер (~ "ты за https://www.opennet.ru/openforum/vsluhforumID1/81413.html#6 Fri, 01 Aug 2008 04:07:47 GMT <br><br>ну и нафиг генераторы которые генерят правил в десяток раз больше ?<br> https://www.opennet.ru/openforum/vsluhforumID1/81413.html#5 Thu, 31 Jul 2008 16:35:12 GMT &gt;eth0 - глобальнвя сеть - xxx.xxx.xxx.13 <br>&gt;/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j <br><br>eth1 в качестве "-i" не смущает?...<br><br>&gt;на порт 1723 проходит, но соединение VPN не устанавливается на этапе <br>&gt;проверки имени и пароля (режется gre???) <br><br>В FORWARD нет разрешающего правила для "-p gre"?<br><br>&gt;Подскажите что не верно. Вкрай задолбался. <br>&gt;Спасибо, Андрей. <br><br>Проще надо, проще. %-) Пример firehol.conf:<br>version 5<br>dnat to 192.168.0.201 inface eth0 proto tcp dport 1723<br>dnat to 192.168.0.201 inface eth0 proto gre<br><br>router 2vpn inface eth0 dst 192.168.0.201<br>server "pptp GRE" accept<br><br>Сгенерённые правила с-под этой конфигурации (в 6-8 раз длиннее) выглядят _примерно_ так:<br><br>-N out_2vpn_GRE_s2 <br>-A out_2vpn_GRE_s2 -p 47 -m state --state ESTABLISHED -j ACCEPT <br>-N in_2vpn_GRE_s2 <br>-A in_2vpn_GRE_s2 -p 47 -m state --state NEW\,ESTABLISHED -j ACCEPT <br>-N out_2vpn_pptp_s1 <br>-A out_2vpn_pptp_s1 -p tcp --sport 1723 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT https://www.opennet.ru/openforum/vsluhforumID1/81413.html#4 Thu, 31 Jul 2008 14:00:37 GMT &gt;IF_DEV=eth0 <br><br>Спасибо Геннадий попробуюсегодня вечером.<br>Одно уточнение.<br> if_DEV=eth0 или eth1?<br><br>На каком интерфейсе мне нужно строить правила? На глобальном eth0 или локальном eth1<br><br>Андрей.<br> https://www.opennet.ru/openforum/vsluhforumID1/81413.html#3 Thu, 31 Jul 2008 07:00:52 GMT IF_DEV=eth0<br> https://www.opennet.ru/openforum/vsluhforumID1/81413.html#2 Thu, 31 Jul 2008 06:48:58 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;<br>&gt;С xxx.xxx.xxx.10 я "прихожу". <br>&gt;Если же разрещаю любые запросы с Ip xxx.xxx.xxx.10 (для отладки) то корекшн <br>&gt;на порт 1723 проходит, но соединение VPN не устанавливается на этапе <br>&gt;проверки имени и пароля (режется gre???) <br>&gt;<br>&gt;Подскажите что не верно. Вкрай задолбался. <br>&gt;<br>&gt;Спасибо, Андрей. <br><br>IF_DEV=eth1<br>vpnserver="192.168.0.201"<br>/sbin/iptables -N pptp<br>/sbin/iptables -A pptp -p tcp --destination-port 1723 --dst $vpnserver -j ACCEPT<br>/sbin/iptables -A pptp -p 47 --dst $vpnserver -j ACCEPT<br>/sbin/iptables -I FORWARD -j pptp<br>/sbin/iptables -t nat -N pptp<br>/sbin/iptables -t nat -A pptp -i $IF_DEV -p tcp --dport 1723 -j DNAT --to $vpnserver:1723<br>/sbin/iptables -t nat -A pptp -i $IF_DEV -p 47 -j DNAT --to $vpnserver<br>/sbin/iptables -t nat -A PREROUTING -j pptp<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/81413.html#1 Thu, 31 Jul 2008 04:31:31 GMT Посмотри остальные правила.<br>