https://www.opennet.ru/openforum/vsluhforumID1/94033.html Система Centos 6, но это наверное неважно.<br>Ситуация такая: есть сервер, на нем поднят vpn, к нему подключаются клиенты. Интерфейсы такие:<br>eth0:<br>IPADDR=195.5.5.5 - внешний и единственный реальный, на него же приходит интернет от провайдера.<br>NETMASK=255.255.255.224<br><br><br>Для подключения VPN-клиентов:<br>интерфейс ppp*<br>ip 10.10.5.1 - сам сервер, он же шлюз.<br>10.10.10.5.0\24 - адреса, раздаваемые клиентам.<br><br>конфиг iptables выглядит так:<br>---------------------------<br>*filter<br>:INPUT ACCEPT [0:0]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>-A INPUT -p icmp -j ACCEPT<br>-A INPUT -i lo -j ACCEPT<br>-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT<br>-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br>-A INPUT -i eth0 -p gre -j ACCEPT<br>-A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT<br>-A INPUT -j REJECT --reject-with icmp-host-prohibited<br>-A FORWARD -j REJECT --reject-with icmp-host-prohibited<br>COMMIT<br>#<br>*nat<br>-A POSTROUTING -o eth0 -s 10.10.5.0/2 https://www.opennet.ru/openforum/vsluhforumID1/94033.html#8 Thu, 15 Nov 2012 12:23:11 GMT &gt;&gt;&gt; Лишние проверки - от незнания, приходится делать вещи не по своей специализации.<br>&gt;&gt; Просто полюбопытствовать - какая ваша специализация ?<br>&gt; Документооборот. Lotus.<br><br>круто<br> https://www.opennet.ru/openforum/vsluhforumID1/94033.html#7 Wed, 14 Nov 2012 16:30:06 GMT &gt;&gt; Лишние проверки - от незнания, приходится делать вещи не по своей специализации.<br>&gt; Просто полюбопытствовать - какая ваша специализация ?<br><br>Документооборот. Lotus.<br> https://www.opennet.ru/openforum/vsluhforumID1/94033.html#6 Wed, 14 Nov 2012 16:25:04 GMT &gt; Лишние проверки - от незнания, приходится делать вещи не по своей специализации. <br><br>Просто полюбопытствовать - какая ваша специализация ?<br> https://www.opennet.ru/openforum/vsluhforumID1/94033.html#5 Wed, 14 Nov 2012 16:13:48 GMT Лишние проверки - от незнания, приходится делать вещи не по своей специализации.<br><br>Спасибо за помощь. Всё получилось.<br>В итоге дополнительные скрипты удалила, в основной конфиг iptables добавила:<br><br># разрешаем проходжение пакетов между локальной сетью и клиентом<br>-A FORWARD -i ppp+ -s 10.10.5.0/24 -o eth0 -j ACCEPT<br>-A FORWARD -i eth0 -d 10.10.5.0/24 -o ppp+ -j ACCEPT<br><br>Наверное даже так будет достаточно:<br># разрешаем проходжение пакетов между локальной сетью и клиентом<br>-A FORWARD -i ppp+ -o eth0 -j ACCEPT<br>-A FORWARD -i eth0 -o ppp+ -j ACCEPT<br> https://www.opennet.ru/openforum/vsluhforumID1/94033.html#4 Wed, 14 Nov 2012 15:45:12 GMT <br>&gt; Зачем такое большое количество проверок?<br><br>iptables -A PPP_IN -i ${PPTP_IF} -s ${PPTP_ADDR} -o ${LOCAL_NET_IF} -j ACCEPT<br><br>зачем идет проверка -o ? У вас есть интерфейс в локалку, куда вы не хотите никого пропускать?<br><br>iptables -A PPP_OUT -i ${LOCAL_NET_IF} -d ${PPTP_ADDR} -o ${PPTP_IF} -j ACCEPT<br><br>зачем идет проверка -о? Пакет всегда пойдет по правилам маршрутизации.<br>Если вы не хотите, чтобы он внезапно вылетел обратно в сторону провайдера, то это лечится прописыванием маршрута в unreach для внутреннего диапазона.<br><br>/sbin/ip ro add unreach 192.168.0.0/24 table main<br><br>Ну а если вы выдаете адреса и при этом эти же адреса висят на локальном интерфейсе этого же сервера, и вы не сделали никакой группировки, которая бы позволила вам прописать что-то типа<br><br>/sbin/ip ro add unreach 192.168.0.192/26 table main<br><br>где 192.168.0.192/26 это описание "диапазона" 192.168.0.192-192.168.0.255 <br><br>- то вы ССЗБ.<br><br><br>Еще один момент:<br><br>iptables -A INPUT -i ${PPTP_IF} -j ACCEPT<br><br>Во первых, в чем смысл правила ? https://www.opennet.ru/openforum/vsluhforumID1/94033.html#3 Wed, 14 Nov 2012 15:36:41 GMT &gt; Спасибо за подсказку про логгирование.<br>&gt; Сделала. Правила получились такими: <br><br>потому что правила исполняются по порядку.<br><br>вариантов два:<br><br>либо менять политику по умолчанию в filter.FORWARD<br>либо выносить правила в отдельную цепочку<br><br>iptables -I FORWARD -i ppp+ -j PPP_IN<br>iptables -I FORWARD -o ppp+ -j PPP_OUT<br><br><br>а в скрипте соответственно<br><br># разрешаем проходжение пакетов между локальной сетью и клиентом<br>iptables -A PPP_IN -i ${PPTP_IF} -s ${PPTP_ADDR} -o ${LOCAL_NET_IF} -j ACCEPT<br>iptables -A PPP_OUT -i ${LOCAL_NET_IF} -d ${PPTP_ADDR} -o ${PPTP_IF} -j ACCEPT<br><br><br>Но всё это громоздко и непродуманно. Еще и с INPUT надо что-то решать.<br><br>Зачем такое большое количество проверок?<br> https://www.opennet.ru/openforum/vsluhforumID1/94033.html#2 Wed, 14 Nov 2012 15:22:27 GMT Спасибо за подсказку про логгирование.<br>Сделала. Правила получились такими:<br>------------<br># iptables -nvL FORWARD<br><br> 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited<br> 0 0 ACCEPT all -- ppp0 eth0 10.10.5.100 0.0.0.0/0<br> 0 0 ACCEPT all -- eth0 ppp0 0.0.0.0/0 10.10.5.100<br>------------<br><br>А вот что в логе:<br>------------<br>Nov 15 05:01:08 root kernel: [FW FORWARD]:IN=ppp0 OUT=eth0 SRC=10.10.5.100 DST=195.239.111.166 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=18705 DF PROTO=TCP SPT=53397 DPT=80 WINDOW=13600 RES=0x00 SYN URGP=0<br>------------<br><br>Не понимаю, что не так. Ведь в правиле:<br>IN ppp0<br>OUT eth0<br>SOURCE 10.10.5.100 (совпадает с адресом клиента)<br>DELSTNATION 0.0.0.0/0<br><br>В логе:<br>IN=ppp0<br>OUT=eth0<br>SRC=10.10.5.100<br>DST=195.239.111.166 <br><br>Почему этот пакет был запрещен?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/94033.html#1 Wed, 14 Nov 2012 13:31:28 GMT <br>&gt; Подскажите пожалуйста, что придумать.<br><br>придумывать нечего. <br><br>Надо читать больше, и думать, что и как работает. Анализировать результаты, исправлять ошибки, пробовать снова. Потом - анализировать результаты. И так - до достижения необходимой цели.<br><br><br>Вам сложно набрать iptables -nvL FORWARD после того, как подключился клиент, чтобы посмотреть, какие правила добавились?<br><br>Не хватает знаний добавить -j LOG перед -j REJECT чтобы посмотреть, что будет резаться? <br><br>Конечно, маны же почитать сложно, задумавшись над тем, для чего это всё написано-то, и как это можно применить..<br><br><br><br>