Опять вернусь к Microsoft VPN (+)

0

0

Кто-нибудь реально ставил это на Linux/iptables?

Ядро 2.4.9, iptables 1.2.2

На внешнем интерфейсе висит правило:
iptables -A FORWARD -o $ext -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu

СтоИт нат:
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Policy accept, пропускаем все.

Вот логи:
16:07:42.847995 asteroid.svib.ru.1082 > 194.87.44.179.pptp: P 156:324(168) ack 157 win 8604 (DF) [tos 0x54]
16:07:43.787490 194.87.44.179.pptp > 192.168.4.53.1082: P 157:189(32) ack 325 win 8436 (DF)
16:07:43.889351 gre-proto-0x880B (gre encap)
16:07:43.903925 asteroid.svib.ru.1082 > 194.87.44.179.pptp: . 324:324(0) ack 189 win 8572 (DF) [tos 0x54]
16:07:46.889174 gre-proto-0x880B (gre encap)
16:07:49.888506 gre-proto-0x880B (gre encap)
16:07:57.915798 gre-proto-0x880B (gre encap)
16:08:03.124667 gre-proto-0x880B (gre encap)
16:08:08.333526 gre-proto-0x880B (gre encap)

Все, дальше - отвал по таймауту.
Т.е. gre протокол не пропускаем ваще.

Пол дня ищу информацию, нету.
Вот тут (http://lists.samba.org/pipermail/netfilter/2001-August/014121.html) мужик задает аналогичный вопрос, а ему никто не отвечает.

Ссылка

←

AVP

SAMBA трабла ....

→

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
исправить на

IPTABLES="/usr/local/sbin/iptables"
LOCALNET2="192.168.2.0/24"
STATIC_IP="213.159.81.6"
ANYWHERE="0.0.0.0/0"
INET_IFACE2="eth1"
$IPTABLES -t nat -A POSTROUTING -s $LOCALNET2 -d $ANYWHERE -o $INET_IFACE2 -j SNAT --to-source $STATIC_IP

inkyspot ★
(19.11.01 17:32:01 MSK)

ну так русским же языком tcpdump написал, что используется gre, так что добавляй в iptables протокол 47.

Z0termaNN ★
(19.11.01 17:41:28 MSK)

Ответ на: комментарий от inkyspot 19.11.01 17:32:01 MSK

Да какая разница (+)

Тот же шарик, только в профиль (и с тем же результатом).

А MASQUERADE здесь работает прекрасно, в качестве $STATIC_IP берется адрес интерфейса $INET_IFACE2 роутера :)

dvk99 ★
(19.11.01 18:24:08 MSK) автор топика

Ссылка

Ответ на: комментарий от Z0termaNN 19.11.01 17:41:28 MSK

Ну так и (+)

я тоже не китайским написал, что policy ACCEPT и правил нет. Значит ВСЕ протоколы должны проходить, поскольку их никто не запрещал.

dvk99 ★
(19.11.01 18:26:25 MSK) автор топика

Ссылка

кстати не факт, что ядро умеет маскарадить gre, здесь легче применить перетрансляцию адресов при помощи iproute.

Z0termaNN ★
(20.11.01 10:33:44 MSK)

Ответ на: комментарий от Z0termaNN 20.11.01 10:33:44 MSK

Очень большое сорри (+)

Дело было в кисе, gre был открыт не на всю сетку.

ЗЫ: Ядра, начиная с 2.4.0, умеет маскарадить gre.

dvk99 ★
(20.11.01 13:21:36 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

AVP

Admin

SAMBA трабла ....

→

Да какая разница (+)

Ну так и (+)

Очень большое сорри (+)

Похожие темы