IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan?покажите route -n или ip r s.
Для начала разберитесь с iptables.
> #Включаем ip forward
> echo 1 > /proc/sys/net/ipv4/ip_forward
Ето должно быть в /etc/sysctl.conf
net.ipv4.ip_forward=1
> #Сбрасываем настройки
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
> iptables -t nat -F
У Вас есть "цепочки" fail2ban-* но ни в этом скрипте (будьте бдительны).
#------------------------------------------------------------------------------
# Cleanup.
#------------------------------------------------------------------------------
# Delete all rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
# Delete all (non-builtin) user-defined chains.
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packet and byte counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
#------------------------------------------------------------------------------
# Default policies.
#------------------------------------------------------------------------------
# Drop everything by default.
# Note: The default policies are set _before_ flushing the chains, to prevent
# a short timespan between flushing the chains and setting policies where
# any traffic would be allowed.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# LOG packets, then DROP them.
iptables -N DROPLOG
iptables -A DROPLOG -j -j LOG --log-level 4 --log-prefix "DROP "
iptables -A DROPLOG -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
> #разрешаем ходить траффику между интерфейсами (тут я не уверен)
> iptables -A FORWARD -s $LOCAL_NET -i eth1 -j ACCEPT
> iptables -A FORWARD -d $LOCAL_NET -o eth1 -j ACCEPT
> iptables -A FORWARD -s $LOCAL_NET -i eth0 -j ACCEPT
> iptables -A FORWARD -d $LOCAL_NET -o eth0 -j ACCEPT
Что куда вы разрешаете?
> #Запрещаем все что не разрешено
> iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN
> -j LOG --log-level 7 --log-tcp-options
> iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN
> -j REJECT --reject-with icmp-port-unreachable
Ну запритили TCP(!) трафик и что?
# LOG packets, then DROP them.
-A INPUT -j DROPLOG
-A OUTPUT -j DROPLOG
-A FORWARD -j DROPLOG
> то у меня получается следующее: пакет уходит от 192.168.99.2 → 192.168.99.1 →
> 192.168.1.2
> а вот потом он приходит так 192.168.1.2 → 213.xxx.xxx.xxx → 192.168.99.2.
> #настраиваем нат для VPN (без этого удаленная сеть недоступна)
> iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j
> SNAT --to-source 192.168.99.1
> #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из
> $INET_DMZ будут ходить со совими реальными ip адресами
> iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT
> --to-source $INET_IP
это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо искать за 192.168.99.1.