https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html Итак, суть такова: имею шлюз с белым ip. Почему-то не выходит подцепится к нему по ssh (к слову http сервер (nginx) тоже ничего не отдает). Коннект к миру идёт через PPPOE.<br>Конфиги\логи:<br>/usr/local/etc/mpd5/mpd.conf<br>[code]<br>default:<br>load pppoe_client<br>pppoe_client:<br>#<br># PPPoE client: only outgoing calls, auto reconnect,<br># ipcp-negotiated address, one-sided authentication,<br># default route points on ISP's end<br>#<br><br>create bundle static B1<br>set iface route default<br>set ipcp ranges 0.0.0.0/0 0.0.0.0/0<br><br>create link static L1 pppoe<br>set link action bundle B1<br>set auth authname authname<br>set auth password password<br>set link max-redial 0<br>set link mtu 1460<br>set link keep-alive 10 60<br>set pppoe iface ed1<br>set pppoe service "service"<br>open<br>[/code]<br>/var/log/auth.log<br>[code]Sep 4 15:05:25 gateway sshd[1789]: Did not receive identification string from ***.***.***.***<br>[/code]<br>/var/log/nginx-access.log<br>[code]***.***.***.*** - - [04/Sep/2011:15:50:14 +0300] "GET / HTTP/1.1" 200 151 "-" "Opera/9. https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#14 Mon, 10 Oct 2011 12:29:56 GMT &gt;&gt; с MTU поигрался, все те-же яйца получаем <br>&gt; не знаю как для фри, с ней не работал - вам надо <br>&gt; подкрутить MSS что в принцепе видно из вашего дампа <br>&gt; в линухе это <br>&gt; iptables -t mangle -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags <br>&gt; SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu <br>&gt; на язык фри переведите сами <br><br>это тот самый set iface enable tcpmssfix в конфиге мпд<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#13 Sun, 09 Oct 2011 08:18:26 GMT &gt; с MTU поигрался, все те-же яйца получаем <br><br>не знаю как для фри, с ней не работал - вам надо подкрутить MSS что в принцепе видно из вашего дампа<br>в линухе это<br>iptables -t mangle -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br>на язык фри переведите сами<br> https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#12 Sun, 09 Oct 2011 04:24:31 GMT с MTU поигрался, все те-же яйца получаем<br> https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#11 Fri, 30 Sep 2011 03:52:15 GMT &gt;[оверквотинг удален]<br>&gt; в момент прихода пакета на порт 22 или 80 извне, будет создано <br>&gt; динамическое правило для обратных пакетиков этой сессии, которое так же будет <br>&gt; находиться ВЫШЕ ната, и обмен пакетов по этому порту не будет <br>&gt; вообще попадать в нат.<br>&gt; Ибо им там делать нечего.<br>&gt; А ввобще наверное надо MTU подкрутить, <br>&gt; и <br>&gt; set iface enable tcpmssfix <br>&gt; и даже может быть <br>&gt; set pptp disable windowing <br><br>dhcppc05003pts/15&lt;~/@&gt; \ssh -vvv asd@46.98.187.233<br>OpenSSH_5.9p1 Debian-1, OpenSSL 1.0.0e 6 Sep 2011<br>debug1: Reading configuration data /home/komar/.ssh/config<br>debug1: Reading configuration data /etc/ssh/ssh_config<br>debug1: /etc/ssh/ssh_config line 19: Applying options for *<br>debug2: ssh_connect: needpriv 0<br>debug1: Connecting to 46.98.187.233 [46.98.187.233] port 22.<br>debug1: Connection established.<br>debug3: Incorrect RSA1 identifier<br>debug3: Could not load "/home/komar/.ssh/id_rsa" as a RSA1 public key<br>debug1: identity file /home/komar/.ssh/id_rsa type 1<br>debug1: Checking blacklist https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#10 Fri, 30 Sep 2011 03:08:14 GMT &gt;&gt;&gt; включи напрямую комп-комп для начала <br>&gt;&gt;&gt; если получится копай в сторону pppoe <br>&gt;&gt; шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но <br>&gt;&gt; хотелось-бы и из мира доступ к нему иметь.<br>&gt;&gt; В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы <br>&gt;&gt; от меня - тоже <br>&gt; ищите проблему последовательно исключая варианты. Без нат ssh снаружи работает ?<br><br>нет, без НАТ"а тоже не работает<br> https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#9 Thu, 29 Sep 2011 22:06:26 GMT &gt; З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед <br>&gt; НАТ"ом, результат - дырка от бублика.<br><br>перед НАТ"ом: <br><br>allow ip from any to any via lo0<br>allow tcp from any to me 22,80 keep-state<br><br>в момент прихода пакета на порт 22 или 80 извне, будет создано динамическое правило для обратных пакетиков этой сессии, которое так же будет находиться ВЫШЕ ната, и обмен пакетов по этому порту не будет вообще попадать в нат.<br>Ибо им там делать нечего.<br><br>А ввобще наверное надо MTU подкрутить,<br>и <br>set iface enable tcpmssfix<br>и даже может быть <br>set pptp disable windowing<br> https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#8 Thu, 29 Sep 2011 21:33:09 GMT &gt;&gt; включи напрямую комп-комп для начала <br>&gt;&gt; если получится копай в сторону pppoe <br>&gt; шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но <br>&gt; хотелось-бы и из мира доступ к нему иметь.<br>&gt; В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы <br>&gt; от меня - тоже <br><br>ищите проблему последовательно исключая варианты. Без нат ssh снаружи работает ?<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#7 Wed, 28 Sep 2011 09:08:19 GMT &gt;&gt;&gt; включи напрямую комп-комп для начала <br>&gt;&gt;&gt; если получится копай в сторону pppoe <br>&gt;&gt; шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но <br>&gt;&gt; хотелось-бы и из мира доступ к нему иметь.<br>&gt;&gt; В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы <br>&gt;&gt; от меня - тоже <br>&gt; Наверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config: <br>&gt; ListenAddress x.x.x.x <br>&gt; Что написано?<br>&gt; А лучше весь конфиг sshd.<br><br>если-бы только ssh не ходил, я-бы понял что проблема в ДНК. Но тут и http не ходит на шлюз, вот в чем беда. Логи nginx'а в первом посте есть.<br> https://ssl.opennet.dev/openforum/vsluhforumID1/92320.html#6 Wed, 28 Sep 2011 04:46:10 GMT &gt; Наверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config: <br>&gt; ListenAddress x.x.x.x <br>&gt; Что написано?<br>&gt; А лучше весь конфиг sshd.<br><br>наверно вы не читали верхние сообщения - стоит перечитать<br>особенно то, в котором автор дал лог tcpdump <br>ага<br><br>