LINUX.ORG.RU
ФорумAdmin

Linux как Dial-in сервер. Странности


0

0

Пытаюсь настроить, чтобы сервер пускал диалапщиков и они могли через мою прокси выходить в инет.. Наблюдается интересная вещь: Пускать с клиента (win2000) - пускает, авторизация проходит нормально. Адрес сервера 192.168.1.1, на нем есть прокси (squid). Клиенту отдается 192.168.1.100. В iptables прописал: $IPTABLES -A INPUT -i ppp+ -j ACCEPT $IPTABLES -A OUTPUT -o ppp+ -j ACCEPT После подключения сервер пингается, но ничерта не работает, даже не открывается локальная веб-страница, расположенная на нем же самом. Также на сервере есть другие сервиса (pop3,smtp) и на них тоже не пускает по телнету! Только пинги и все тут! При этом клиенты в сети работают беспроблемно. Настройки делал, детально придерживаясь инструкций по: http://www.opennet.ru/base/modem/tale_linux_ppp.txt.html Неужели, черезчур накручен у меня фильтр пактов (iptables)? Или нужны дополнительные правила?

anonymous

1) echo "1" > /proc/sys/net/ipv4/ip_forward 2) чтоб пакеты проходили нужно разрешить -A FORWARD для каждого клиента или подсети

x97Rang ★★★
()
Ответ на: комментарий от x97Rang

ip_forward включен. А вот по поводу FORWARD вопрос. Самого форвардинга там быть по-идее не должно. Прокся то-там локально находится на том же сервере и все соединения в инет идут только через нее. Или не так?

anonymous
()
Ответ на: комментарий от anonymous

:)

а редирект назначен для портов ? прозрачно ?

если для squid, то вроде:

/sbin/iptables -t nat -A PREROUTING -p tcp -s ip/_клиента -d ! ip_самого сервера --dport 80 -j REDIRECT --to-ports 3128:3128

x97Rang ★★★
()
Ответ на: комментарий от x97Rang

Редиректа нет, но ведь как-то клиенты локалки работают без редиректа, а адрес диалапщику выдается в той же подсетке. Или редирект необходимо только для ppp делать?

anonymous
()
Ответ на: комментарий от anonymous

вообще-то можно без редиректа, просто тогда каждому пользователю надо в браузере прописывать адрес и порт прокси, а с редиректом проще и статистику по ссылкам всю видать и доступ можно разграничивать по траффику, времени и др, а если редирект не прописан, порт и адрес указываются нормально, то грабли в конфиге squid.conf, в частоности может acl-строки не верно для доступа прописаны ...

x97Rang ★★★
()
Ответ на: комментарий от x97Rang

Насчет сквида это понятно, но у меня при ppp входе не открывается корпоративная страничка, которая крутится на локальном апаче и ей никакой сквид не нужен. Нет, проблема в сквиде, это точно. В любом случае спасибо за ответ, насчет прозрачности надо реализовать :-)

anonymous
()
Ответ на: комментарий от anonymous

Может быть, ты адрес сервера DNS не даешь или даешь неправильно? Проверь, если твоя корпоративная страница доступна по IP, но недоступна по www.corp.com, то дело может быть в DNS.

И еще есть такой момент. Ты адрес даешь в той же сети, но Windows считает, что маска подсети 255.255.255.255. Таким образом, для доступа к squid'у она хочет идти через шлюз по умолчанию. А если forwarding для P-t-P сети у тебя не стоит, то его и не будет.

nobody ★★
()
Ответ на: комментарий от nobody

Вдогонку: если squid'у сказано висеть на 192.168.0.1, то попробуй его повесить на 0.0.0.0, а в iptables закрой к нему доступ из инета. P-t-P клиентам укажи адрес squid'а равный адресу peer. Таким образом, к squid'у гарантированно получат доступ P-t-P клиенты.

nobody ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.