LINUX.ORG.RU
ФорумAdmin

Как слелать pptp маршрут по дефолту в CentOS?

 ,


0

1

Есть pptp подключение

/etc/ppp/peers/pptpserver такой: 

pty "pptp адрес --nolaunchpppd"
name логин
password пароль
remotename PPTP
require-mppe-128
persist holdoff 0
maxfail 0
lcp-echo-interval 15
lcp-echo-failure 0
default-asyncmap

/etc/sysconfig/network-scripts/ifcfg-pptpserver выглядит так:

ONBOOT=yes
USERCTL=yes
TYPE=modem
PEERDNS=yes
DEVICE=ppp0
DEFROUTE=no
ZONE=public

cat /etc/sysconfig/network-scripts/route-pptpserver

192.168.1.0/24 via 192.168.4.1
192.168.21.0/24 via 192.168.4.1
192.168.88.0/24 via 192.168.4.1
192.168.3.0/24 via 192.168.4.1

Попробовал изменить DEFROUTE на yes, перезапустить службу network, сервер отказался пинговаться, пришлось через rescue систему все назад править.


pptp адрес

Маршрут до «адрес» прописан явно или pptp-пакеты пакеты ходят по default-маршрут.

сервер отказался пинговаться

По какому из ip-адресов перестал ходить пинг?

mky ★★★★★
()
Ответ на: комментарий от mky

Маршрут до «адрес» прописан явно или pptp-пакеты пакеты ходят по default-маршрут.

Адрес - это белый ip до офиса, там стоит mikrotik с pptp сервером.

По какому из ip-адресов перестал ходить пинг?

Пинг прекратился на белый ip сервера, который подключен к офису по pptp. Т.е. сервер pptp клиент перестал отзываться. Пришлось через рескью систему провайдера откатывать изменения.

В общем, там так. Есть офис, к нему подключен сервер по pptp. Он в облаке и смотрит в интернет со своим белым ip. Когда я в файроволле на стороне провайдера запрещаю все соединения, кроме офиса, перестают по внутреннем адресу быть доступны веб ресурсы. Например, без файрволла по адресу 192.168.4.62:8000 открывается наш ресурс, внутрифирменный, очень важный, с включенным файрволлом нет. Хотя часть ресурсов чувствует себя нормально. Т.е. дело точно не в файрволле.

Я подумал, что если дефолтным маршрутом в интернет сделать ppp0, то все заработает нормально с включенным файрволлом, когда до облака доходят только пакеты с нашего офисного ip.

Как сделать pptp соединение дефолтным маршрутом пока не нагуглил.

denko
() автор топика
Ответ на: комментарий от denko

Пинг прекратился на белый ip сервера,

Для того, чтобы сервер был доступен по белому ip, нужен маршрут по умолчанию через этот ip (хостера). А если вы при этом хотите маршрут по умолчанию через другой интерфейс (ppp0), то вам в PBR (policy based routing).

Хотя часть ресурсов чувствует себя нормально. Т.е. дело точно

не в файрволле.

Вобще то, файрволл именно и позволяет перекрывать отдельные ресурсы. Ваш сервер до 192.168.4.62 может добраться только через ppp0, раз работает без файрволла, значит с маршрутами нормально.

пока не нагуглил.

У вас должен быть на сервере в облаке прописан маршрут до белого ip микротика через хостера.

mky ★★★★★
()
Ответ на: комментарий от mky

то вам в PBR (policy based routing).

Ок, погуглю.

Вобще то, файрволл именно и позволяет перекрывать отдельные ресурсы. Ваш сервер до 192.168.4.62 может добраться только через ppp0, раз работает без файрволла, значит с маршрутами нормально.

В том-то и дело, что с маршрутами все нормально. все, что я делаю - это разрешаю все соединения по всем портам на ip офиса. PPTP при этом работает. Какие-то сервисы при этом работают. Но отваливается то, что нужно... Соединение на web сервер по порт 8000.

Там на самом деле наворочено. Там девелоперская виртуальная машина vagrant с laravel и Homestead крутится на virtualbox, при этом сервер headless. Т.е. без GUI.

Просто мне все те технологии, что программист использовал было слишком сложно развернуть, так что у нас production на девелоперском фрейморке крутится через виртуализацию. Только одно но, мне нужно безопасность этого всего обеспечить, а оно отваливается.

Может дело в том, что есть сервер, у него виртуальная сеть virtualbox, pptp и они вместе не дружат?

Возможно, нужно как-то это на какой-нибудь docker попробовать перевести.

Я не слишком силен в сетевых вещах, так что просто не понимаю почему при выключенном файрволле все прекрасно работает по внутреннему адрему, а при включенном файрволле (когда ничего криминального там нет, просто разрешение на все порты соединяться с определенным ip, т.е. pptp должно соединиться, а что там внутри провайдеру должно быть по фигу) нет.

denko
() автор топика
Ответ на: комментарий от anonymous

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 274M 227G ACCEPT all  — * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 2 26040 1567K ACCEPT all  — lo * 0.0.0.0/0 0.0.0.0/0 3 45425 15M INPUT_direct all  — * * 0.0.0.0/0 0.0.0.0/0 4 13608 748K INPUT_ZONES_SOURCE all  — * * 0.0.0.0/0 0.0.0.0/0 5 13608 748K INPUT_ZONES all  — * * 0.0.0.0/0 0.0.0.0/0 6 107 4412 DROP all  — * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 7 9338 520K REJECT all  — * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT all  — * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 2 0 0 ACCEPT all  — lo * 0.0.0.0/0 0.0.0.0/0 3 0 0 FORWARD_direct all  — * * 0.0.0.0/0 0.0.0.0/0 4 0 0 FORWARD_IN_ZONES_SOURCE all  — * * 0.0.0.0/0 0.0.0.0/0 5 0 0 FORWARD_IN_ZONES all  — * * 0.0.0.0/0 0.0.0.0/0 6 0 0 FORWARD_OUT_ZONES_SOURCE all  — * * 0.0.0.0/0 0.0.0.0/0 7 0 0 FORWARD_OUT_ZONES all  — * * 0.0.0.0/0 0.0.0.0/0 8 0 0 DROP all  — * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 9 0 0 REJECT all  — * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 275M packets, 227G bytes) num pkts bytes target prot opt in out source destination 1 275M 227G OUTPUT_direct all  — * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references) num pkts bytes target prot opt in out source destination 1 0 0 FWDI_public all  — ppp0 * 0.0.0.0/0 0.0.0.0/0 [goto] 2 0 0 FWDI_public all  — enp0s31f6 * 0.0.0.0/0 0.0.0.0/0 [goto] 3 0 0 FWDI_public all  — + * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references) num pkts bytes target prot opt in out source destination

Chain FORWARD_OUT_ZONES (1 references) num pkts bytes target prot opt in out source destination 1 0 0 FWDO_public all  — * ppp0 0.0.0.0/0 0.0.0.0/0 [goto] 2 0 0 FWDO_public all  — * enp0s31f6 0.0.0.0/0 0.0.0.0/0 [goto] 3 0 0 FWDO_public all  — * + 0.0.0.0/0 0.0.0.0/0 [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references) num pkts bytes target prot opt in out source destination

Chain FORWARD_direct (1 references) num pkts bytes target prot opt in out source destination

Chain FWDI_public (3 references) num pkts bytes target prot opt in out source destination 1 0 0 FWDI_public_log all  — * * 0.0.0.0/0 0.0.0.0/0 2 0 0 FWDI_public_deny all  — * * 0.0.0.0/0 0.0.0.0/0 3 0 0 FWDI_public_allow all  — * * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0

Chain FWDI_public_allow (1 references) num pkts bytes target prot opt in out source destination

Chain FWDI_public_deny (1 references) num pkts bytes target prot opt in out source destination

Chain FWDI_public_log (1 references) num pkts bytes target prot opt in out source destination

Chain FWDO_public (3 references) num pkts bytes target prot opt in out source destination 1 0 0 FWDO_public_log all  — * * 0.0.0.0/0 0.0.0.0/0 2 0 0 FWDO_public_deny all  — * * 0.0.0.0/0 0.0.0.0/0 3 0 0 FWDO_public_allow all  — * * 0.0.0.0/0 0.0.0.0/0

Chain FWDO_public_allow (1 references) num pkts bytes target prot opt in out source destination

Chain FWDO_public_deny (1 references) num pkts bytes target prot opt in out source destination

Chain FWDO_public_log (1 references) num pkts bytes target prot opt in out source destination

Chain INPUT_ZONES (1 references) num pkts bytes target prot opt in out source destination 1 243 12636 IN_public all  — ppp0 * 0.0.0.0/0 0.0.0.0/0 [goto] 2 13365 735K IN_public all  — enp0s31f6 * 0.0.0.0/0 0.0.0.0/0 [goto] 3 0 0 IN_public all  — + * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain INPUT_direct (1 references) num pkts bytes target prot opt in out source destination 1 28594 14M ACCEPT 47  — * * 0.0.0.0/0 0.0.0.0/0 2 3223 193K REJECT tcp  — * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 match-set fail2ban-sshd src reject-with icmp-port-unreachable

Chain IN_public (3 references) num pkts bytes target prot opt in out source destination 1 13608 748K IN_public_log all  — * * 0.0.0.0/0 0.0.0.0/0 2 13608 748K IN_public_deny all  — * * 0.0.0.0/0 0.0.0.0/0 3 13608 748K IN_public_allow all  — * * 0.0.0.0/0 0.0.0.0/0 4 40 3950 ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0

Chain IN_public_allow (1 references) num pkts bytes target prot opt in out source destination 1 686 41432 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate NEW 2 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:475 ctstate NEW 3 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1540 ctstate NEW 4 51 2636 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1541 ctstate NEW 5 66 3400 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1560:1591 ctstate NEW 6 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15200 ctstate NEW 7 5 236 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5432 ctstate NEW 8 117 5388 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ctstate NEW 9 15 664 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ctstate NEW 10 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19999 ctstate NEW 11 289 15378 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 ctstate NEW 12 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15200 ctstate NEW 13 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10050 ctstate NEW 14 2894 150K ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 ctstate NEW

denko
() автор топика
Ответ на: комментарий от denko 
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     274M  227G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2    26040 1567K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3    45425   15M INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4    13608  748K INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5    13608  748K INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6      107  4412 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
7     9338  520K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3        0     0 FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5        0     0 FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7        0     0 FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
9        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 275M packets, 227G bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     275M  227G OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_public  all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           [goto]
2        0     0 FWDI_public  all  --  enp0s31f6 *       0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 FWDI_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_OUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_public  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           [goto]
2        0     0 FWDO_public  all  --  *      enp0s31f6  0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 FWDO_public  all  --  *      +       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDI_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDI_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDO_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDO_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain INPUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      243 12636 IN_public  all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           [goto]
2    13365  735K IN_public  all  --  enp0s31f6 *       0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 IN_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain INPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    28594   14M ACCEPT     47   --  *      *       0.0.0.0/0            0.0.0.0/0
2     3223  193K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22 match-set fail2ban-sshd src reject-with icmp-port-unreachable

Chain IN_public (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1    13608  748K IN_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2    13608  748K IN_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3    13608  748K IN_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4       40  3950 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      686 41432 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:475 ctstate NEW
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1540 ctstate NEW
4       51  2636 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1541 ctstate NEW
5       66  3400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:1560:1591 ctstate NEW
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:15200 ctstate NEW
7        5   236 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5432 ctstate NEW
8      117  5388 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
9       15   664 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW
10       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:19999 ctstate NEW
11     289 15378 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8000 ctstate NEW
12       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:15200 ctstate NEW
13       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10050 ctstate NEW
14    2894  150K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW
denko
() автор топика
Ответ на: комментарий от denko

Здесь не все цепочки и только таблица filter. Покажите вывод команды ″iptables-save″ и если сюда не влазит, то на pastebin.com, а сюда ссылку.

И для отладки можете вобще засунуть первыми правилами в INPUT/OUTPUT ACCEPT для пакетов от/на 192.168.4.0/24 (или вобще 192.168.0.0/16).

mky ★★★★★
()
Ответ на: комментарий от mky 
# Generated by iptables-save v1.4.21 on Sat Dec 29 10:29:27 2018
*nat
:PREROUTING ACCEPT [41469:2237422]
:INPUT ACCEPT [15211:798929]
:OUTPUT ACCEPT [69344:4251586]
:POSTROUTING ACCEPT [69344:4251586]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o ppp0 -g POST_public
-A POSTROUTING_ZONES -o enp0s31f6 -g POST_public
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -i ppp0 -g PRE_public
-A PREROUTING_ZONES -i enp0s31f6 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sat Dec 29 10:29:27 2018
# Generated by iptables-save v1.4.21 on Sat Dec 29 10:29:27 2018
*mangle
:PREROUTING ACCEPT [626280747:523441957899]
:INPUT ACCEPT [626280746:523441957821]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [626201895:523574343190]
:POSTROUTING ACCEPT [626206172:523574635239]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i ppp0 -g PRE_public
-A PREROUTING_ZONES -i enp0s31f6 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sat Dec 29 10:29:27 2018
# Generated by iptables-save v1.4.21 on Sat Dec 29 10:29:27 2018
*security
:INPUT ACCEPT [626249385:523440184288]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [626201928:523574347487]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Sat Dec 29 10:29:27 2018
# Generated by iptables-save v1.4.21 on Sat Dec 29 10:29:27 2018
*raw
:PREROUTING ACCEPT [626280747:523441957899]
:OUTPUT ACCEPT [626201897:523574345638]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i ppp0 -g PRE_public
-A PREROUTING_ZONES -i enp0s31f6 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sat Dec 29 10:29:27 2018
# Generated by iptables-save v1.4.21 on Sat Dec 29 10:29:27 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [626201805:523574341288]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j OUTPUT_direct
-A FORWARD_IN_ZONES -i ppp0 -g FWDI_public
-A FORWARD_IN_ZONES -i enp0s31f6 -g FWDI_public
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -o ppp0 -g FWDO_public
-A FORWARD_OUT_ZONES -o enp0s31f6 -g FWDO_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDI_public -p icmp -j ACCEPT
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -i ppp0 -g IN_public
-A INPUT_ZONES -i enp0s31f6 -g IN_public
-A INPUT_ZONES -g IN_public
-A INPUT_direct -p gre -j ACCEPT
-A INPUT_direct -p tcp -m multiport --dports 22 -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public -p icmp -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 475 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 1540 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 1541 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 1560:1591 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 15200 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 5432 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 19999 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 8000 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 15200 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 10050 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 10000 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Sat Dec 29 10:29:27 2018
denko
() автор топика
Ответ на: комментарий от denko

Как-то я не увидел вот этих правил:

все, что я делаю - это разрешаю все соединения по всем портам на ip офиса.

У вас просто открыт ряд портов для ppp0 и enp0s31f6 интерфейсов. enp0s31f6 это что за интерфейс?

Вы пробовали такие правила: 

iptabels -I INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -I OUTPUT -d 192.168.0.0/16 -j ACCEPT
добавлять?

mky ★★★★★
()
Ответ на: комментарий от mky

Как-то я не увидел вот этих правил:

Я же писал, что делаю это на стороне провайдера. Там свой firewall есть, так что в firewalld я не лез. Все, что я сделал - это разрешил ряд портов в firewalld. И на стороне хостинга запретил все соединения, которые идут не на офисный ip.

Так вот, провайдеру и серверу должно быть все равно что в pptp тунелле идет, но отваливаются web сервисы. Порт 8000 и netdata 19999. А 1с, например, себя нормально чувствует. Так что тут не в файрволе дело.

denko
() автор топика
Ответ на: комментарий от denko

Запустите на вашем сервере два tcpdump'а на ppp и ethernet интерфейсах на перехват пакетов на 8000 tcp порт. Убедитесь, что эти пакеты ходят только через pptp-тунель и перестают ходить при включении firewall'а на стороне провайдера.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin