LINUX.ORG.RU
ФорумAdmin

OpenVPN. NATятся не все пакеты.

 , ,


2

1

Приветствую,

Что имеем: Centos 6.6 Linux 2.6.32-504.30.3.el6.x86_64 #1 SMP Wed Jul 15 10:13:09 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

OpenVPN 2.3.7 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 9 2015

Все пингуется, интернеты есть. Но заметил, что часть пакетов не натится.

Код:
IPT=«/sbin/iptables»
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A INPUT -p tcp -m multiport --dports 20,21,222,2224,80,443,3306 -j ACCEPT
$IPT -A INPUT -p tcp -m multiport --dports 25,110,143,465,993,995 -j ACCEPT

$IPT -A INPUT -p tcp -m multiport --dports 53 -j ACCEPT
$IPT -A INPUT -p udp -m multiport --dports 53,80 -j ACCEPT

# OpenVPN UDP 80
$IPT -I FORWARD -i eth0 -o tap1 -j ACCEPT
$IPT -I FORWARD -i tap1 -o eth0 -j ACCEPT
$IPT -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth0 -j SNAT --to-source xxx.yyy.zzz.www

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/service iptables save

В какую сторону смотреть?

Спасибо.



Последнее исправление: TeHb (всего исправлений: 1)

Ответ на: комментарий от TeHb

Маскарадинг для любого подходит, SNAT — только для статического. Кстати, в чём выражается, что часть пакетов не натится?

te111011010
()
Ответ на: комментарий от te111011010

на опенвпн машине tcpdump src host 10.20.0.2 -nn 15:47:03.975288 IP 10.20.0.2.52145 > xxx.xxx.xxx.xxx.2224: Flags [R], seq 2233692060, win 0, length 0

10.20.0.2 - это адрес клиента вместо него должен быть белый ип xxx.yyy.zzz.www, как и у 98% других пакетов.

TeHb
() автор топика
Ответ на: комментарий от dhameoelin

Замена
$IPT -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth0 -j SNAT --to-source xxx.yyy.zzz.www
на
$IPT -t nat -A POSTROUTING -s 10.20.0.0/24 -d xxx.yyy.zzz.www -j MASQUERADE
не помогла - отвалился интернет на клиентской машине

+ доп информация интерфейсы не считая tap'а:
eth0 uuu.uuu.uuu.uuu
eth0:1 xxx.yyy.zzz.www
коннект клиента к uuu.uuu.uuu.uuu
на выходе у клиента ip xxx.yyy.zzz.www

TeHb
() автор топика
Ответ на: комментарий от koi-sama

Нет:

eth0:1 Link encap:Ethernet HWaddr C6:B4:43:23:46:47
inet addr:xxx.yyy.zzz.www Bcast:xxx.yyy.zzz.www Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

tap1 Link encap:Ethernet HWaddr [...]
inet addr:10.20.0.1 Bcast:10.20.0.255 Mask:255.255.255.0
inet6 addr: [...]/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:152199 errors:0 dropped:0 overruns:0 frame:0
TX packets:180814 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:26607539 (25.3 MiB) TX bytes:132042558 (125.9 MiB)

TeHb
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.