LINUX.ORG.RU
ФорумAdmin

Помогите с Iptables работает Почти все )


0

1

Господа линуксоиды нужна ваше помощь с ИПтаблес. Настроил все отлично сервер раздает интернет закрыты все порты в интернет кроме нужных. сайт с интернета виден. НО ппри подключении ВПН соеденения к серверу через pptp все настройки блокировки сбрасываються Т.Е самба открыта из интернета и прочее. уже все препробывал но при подключении ВПН такая тарабарщина. Помогите плиз.

Скрипт по шаблону делал

#!/bin/sh
# FireWall by Vitaliy DeviL'ev [devilev@mail.ru]
# — — — — —
# Настраиваем интерфейс, который смотрит в инет.

INET_IP=«235.30.122.29»
INET_IFACE=«ppp0»
INET_BROADCAST=«95.70.16.29»

# Настраиваем интерфейс, который смотрит в локалку
LAN_IP=«192.168.0.9»
LAN_IP_RANGE=«192.168.0.9/24»
LAN_IFACE=«eth0»

# Настраиваем интерфейс, который localhost. Внимание! Это лучше не менять!
LO_IFACE=«lo»
LO_IP=«127.0.0.1»

# Как будем обращаться к iptables
IPTABLES=«iptables»

# Очистим все таблицы нашей огненной стены.
$IPTABLES -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Подгружаем необходимые нам модули.
/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_nat_pptp

# Модули, которые нам сейчас не пригодятся
#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc

# Без этого ничего у нас не заработает
echo «1» > /proc/sys/net/ipv4/ip_forward

# Запрещаем все
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

# Создание цепочек.
# Цепочка для «плохих» пакетов"
$IPTABLES -N bad_tcp_packets

# Цепочки для ICMP, TCP и UDP
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

# Обрезаем «плохие» пакеты
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix «New not syn:»
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# Остальное пропускаем
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# Правила для TCP-протокола
# FTP
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 5021 -j allowed
# SSH
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
# Web
$IPTABLES -A tcp_packets -p TCP -s $INET_IP --dport 80 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 8080 -j allowed
# IDENTD service (IRC, etc)
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
# SMTP (25)
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed
# Client-Bank 1024, 1239, 1240
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 1024 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 1239 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 1240 -j allowed
# ICQ
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 5190 -j allowed
# Torrent
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 32032 -j allowed
# Webmin
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 10000 -j allowed
# Копируя это правила вы можете открывать любые порты:
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport XXX -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INET_IP --dport 5900 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INET_IP --dport 3000 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INET_IP --dport 1723 -j allowed
$IPTABLES -A tcp_packets -p gre -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INET_IP --dport 47 -j allowed


# UDP ports
# DNS
$IPTABLES -A udp_packets -p UDP -s $INET_IP --destination-port 53 -j ACCEPT
# NTP (time service)
$IPTABLES -A udp_packets -p UDP -s $INET_IP --destination-port 123 -j ACCEPT
# MultiMedia Data-Voice Port (speak freely, etc)
$IPTABLES -A udp_packets -p UDP -s $INET_IP --destination-port 2074 -j ACCEPT
# ICQ
$IPTABLES -A udp_packets -p UDP -s $INET_IP --destination-port 4000 -j ACCEPT
# Torrent
$IPTABLES -A udp_packets -p UDP -s $INET_IP --destination-port 32032 -j ACCEPT
# Блокирует широковещательные пакеты в сетях Microsoft Network
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP
# Блокируем DHCP запросы извне
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 --destination-port 67:68 -j DROP

# ICMP, чтобы был ping :)
$IPTABLES -A icmp_packets -p ICMP -s $LAN_IP --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $LAN_IP --icmp-type 11 -j ACCEPT

# Цепочки INPUT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT


# Правила для пакетов из Интернет
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p TCP -s $INET_IP --dport 139 -j DROP
$IPTABLES -A INPUT -p TCP -s $INET_IP --sport 137:139 -j DROP

# Отсеивание левого траффика от Microsoft Network
$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

#
# Трафик журналируется, на случай необходимости поиска причин возникающих проблем.
# Не более 3х пакетов в минуту
#
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix «IPT INPUT packet died: »

# Цепочки FORWARD
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
# Пропуск пакетов из локальной сети без ограничений
# Пропуск пакетов в локальную сеть только в ответ на установленное соединение из локальной сети
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Журналирование сброшеных пакетов в цепочке FORWARD
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix «IPT FORWARD packet died: »

# Цепочки OUTPUT
# Цепочка регулирования локального трафика с брандмауэра!
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $INET_IP -m multiport --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -p tcp -s $INET_IP -m multiport --dport 137:139 -j DROP

# По традиции жерналируем
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix «IPT OUTPUT packet died: »

# Таблица NAT
# Цепочки POSTROUTING
# Заворачивание трафика на прокси. Об этом позже.
#$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 80 -j REDIRECT --to-port 8080
# Врубаем простой IP-форвардинг и NAT
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

Выкиньте этот скрипт. Если у вас нормальный дистрибутив, используйте его методы сохранения настроек. Правила ваши должны выглядеть примерно так: 

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo ACCEPT # Loopback
iptables -A INPUT -i eth0 ACCEPT # LAN
iptables -A INPUT -p gre -j ACCEPT # GRE session (PPtP)
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # All replies
В 99% случаев эта конфигурация покрывает нужды пользователя, и расширяется правилами вида 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Incoming ssh
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # Incoming smtp
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Incomign HTTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # Incoming FTP
и затем восстанавливается и сохраняется командами iptables-save и iptables-restore. Единственное что надо доделать - добавить загрузку модулей conntrack для «сложных» протоколов типа FTP или SIP, если вы их используете.

Nastishka ★★★★★
()
Ответ на: комментарий от Nastishka

Спасибо. Но 1 НО ) у меня же еще эта машина интернет раздает. я так понял нужно еще будет добавить

echo «1» > /proc/sys/net/ipv4/ip_forward

IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ИПинтернета

или не так ?

Ciceron
() автор топика
Ответ на: комментарий от Ciceron

да, или настроить маскарад

iptables -t nat -A POSTROUTING -s подсеть_откуда -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

после перезагрузки не сохранится кстати, какой дистрибутив используешь?

Deleted
()
Ответ на: комментарий от Deleted

Ubuntu. да... блин... при использовании

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo ACCEPT # Loopback
iptables -A INPUT -i eth0 ACCEPT # LAN
iptables -A INPUT -p gre -j ACCEPT # GRE session (PPtP)
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # All replies
«1» > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ИПинтернета

iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Incoming ssh
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # Incoming smtp
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Incomign HTTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # Incoming FTP
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT # Incoming VNC
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT # Incoming nTOP

ваще все глохнет на корню )

Ciceron
() автор топика
Ответ на: комментарий от Ciceron

Вывод iptables --line-numbers -vnL и iptables-save в лоркоде, пожалуйста. Не вижу ppp+ в правилах. Опиши, что нужно то хотя. Какие сервисы крутятся?

anton_jugatsu ★★★★
()
Ответ на: комментарий от berrywizard

Товарисчи что то не выходит даже на самой машине при применении правил отпадает интернет

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 ACCEPT
iptables -A INPUT -i lo ACCEPT # Loopback
iptables -A INPUT -i eth0 ACCEPT # LAN
iptables -A INPUT -p gre -j ACCEPT # GRE session (PPtP)
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # All replies
echo «1» > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ИПинтернета

iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Incoming ssh
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # Incoming smtp
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Incomign HTTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # Incoming FTP
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT # Incoming VNC
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT # Incoming nTOP
iptables -A INPUT -p tcp --dport 139 -j ACCEPT # Incoming nTOP

я уже прям в недоумении

Ciceron
() автор топика
Ответ на: комментарий от anton_jugatsu

вобщем сервер, на нем крутиться сайт который должен быть виден как из сети ЛАН так и Инет. Есть Самба она нужна только для локалки и тех кто подключиться по ППТП(ВПН) так же серв раздает интернет в локалку.

я уже все шаблоны перебрал ни один как нужно не работает.

Ciceron
() автор топика
Ответ на: комментарий от Ciceron

вот вывод iptables --line-numbers -vnL до покдключения к серверу ВПН (по скрипту выше)

Chain INPUT (policy DROP 2 packets, 156 bytes)
num pkts bytes target prot opt in out source destination
1 74 4213 bad_tcp_packets tcp  — * * 0.0.0.0/0 0.0.0.0/0
2 82 5037 ACCEPT all  — eth0 * 192.168.0.0/24 0.0.0.0/0
3 0 0 ACCEPT all  — lo * 127.0.0.1 0.0.0.0/0
4 0 0 ACCEPT all  — lo * 192.168.0.9 0.0.0.0/0
5 0 0 ACCEPT all  — lo * 95.71.16.29 0.0.0.0/0
6 0 0 ACCEPT udp  — eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
7 2 263 ACCEPT all  — * * 0.0.0.0/0 95.71.16.29 state RELATED,ESTABLISHED
8 0 0 tcp_packets tcp  — ppp0 * 0.0.0.0/0 0.0.0.0/0
9 0 0 udp_packets udp  — ppp0 * 0.0.0.0/0 0.0.0.0/0
10 0 0 icmp_packets icmp — ppp0 * 0.0.0.0/0 0.0.0.0/0
11 0 0 DROP tcp  — ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
12 0 0 DROP tcp  — ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:137:139
13 0 0 DROP all  — ppp0 * 0.0.0.0/0 224.0.0.0/8
14 2 156 LOG all  — * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `IPT INPUT packet died: '

Chain FORWARD (policy DROP 2 packets, 212 bytes)
num pkts bytes target prot opt in out source destination
1 9 1919 bad_tcp_packets tcp  — * * 0.0.0.0/0 0.0.0.0/0
2 4 989 ACCEPT all  — eth0 * 0.0.0.0/0 0.0.0.0/0
3 7 1006 ACCEPT all  — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4 2 212 LOG all  — * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `IPT FORWARD packet died: '

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 95 101K bad_tcp_packets tcp  — * * 0.0.0.0/0 0.0.0.0/0
2 0 0 ACCEPT all  — * * 127.0.0.1 0.0.0.0/0
3 99 101K ACCEPT all  — * * 192.168.0.9 0.0.0.0/0
4 3 253 ACCEPT all  — * * 95.71.16.29 0.0.0.0/0
5 0 0 DROP tcp  — * * 95.71.16.29 0.0.0.0/0 multiport dports 137:139
6 0 0 DROP tcp  — * * 95.71.16.29 0.0.0.0/0 multiport dports 137:139
7 0 0 LOG all  — * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `IPT OUTPUT packet died: '

Chain allowed (9 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
2 0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 0 0 DROP tcp  — * * 0.0.0.0/0 0.0.0.0/0

Chain bad_tcp_packets (3 references)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset
2 0 0 DROP tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

Chain icmp_packets (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT icmp — * * 192.168.0.9 0.0.0.0/0 icmp type 8
2 0 0 ACCEPT icmp — * * 192.168.0.9 0.0.0.0/0 icmp type 11

Chain tcp_packets (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 allowed tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
2 0 0 allowed tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 0 0 allowed tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5021
4 0 0 allowed tcp  — ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
5 0 0 allowed tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900
6 0 0 allowed tcp  — ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
7 0 0 allowed tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
8 0 0 allowed 47  — * * 0.0.0.0/0 0.0.0.0/0
9 0 0 allowed tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:47

Chain udp_packets (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT udp  — * * 95.71.16.29 0.0.0.0/0 udp dpt:53
2 0 0 ACCEPT udp  — * * 95.71.16.29 0.0.0.0/0 udp dpt:123
3 0 0 ACCEPT udp  — * * 95.71.16.29 0.0.0.0/0 udp dpt:2074
4 0 0 ACCEPT udp  — * * 95.71.16.29 0.0.0.0/0 udp dpt:4000
5 0 0 ACCEPT udp  — * * 95.71.16.29 0.0.0.0/0 udp dpt:32032
6 0 0 DROP udp  — ppp0 * 0.0.0.0/0 95.71.16.29 udp dpts:135:139
7 0 0 DROP udp  — ppp0 * 0.0.0.0/0 255.255.255.255 udp dpts:67:68



а ВОТ какое ПОСЛЕ подключения ВПН (лин его называет ррр1, тк на ррр0 это интернет )


Chain INPUT (policy ACCEPT 309 packets, 21132 bytes)
num pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 19 packets, 2530 bytes)
num pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 338 packets, 266K bytes)
num pkts bytes target prot opt in out source destination

Ciceron
() автор топика

Как подключаете VPN?
При врублении VPN каким-то образом очищаются все правила (К.О.)
Похоже у вас кроме этого скрипта стоит ещё какой-то скрипт/сервис который тоже пытается загрузить правила айпистолов.

Nao ★★★★★
()
Ответ на: комментарий от Ciceron

изучите содержание /etc/ppp/ip_up.sh - видимо при включении ppp (VPN) отрабатывают скрипты которые вносят коррективы в ваш iptables.

MKuznetsov ★★★★★
()
Ответ на: комментарий от Ciceron

> А не может быть это из за того что у меня интернет выдается через РРРОЕ ?

Через интерфейс eth1? Ну так
iptables -A INPUT -i eth1 -p tcp -j DROP
iptables -A INPUT -i eth1 -p udp -j DROP
iptables -A INPUT -i eth1 -p icmp -j DROP
iptables -A INPUT -i eth1 -j ACCEPT

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

ПАСИБО ВСЕМ !!!

Все разобрался вроде. Правда теперь после соединения ВПН из интернета не могу зайти на сервер как в локалку. т.е на ту же самбу.

Ciceron
() автор топика
Ответ на: ПАСИБО ВСЕМ !!! от Ciceron

Тебе же уже сказали - у тебя какие-то кривые скрипты передергивают файрвол после подключения. Настрой правильно iptables через интерфейсы и MASQUERADE а не SNAT, и все у тебя будет работать

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Не не ) Сейчас конфиг сети остаеться нормальным как до ВПН так и после Инет раздаеться хорошо, просто при подключении ВПН из интернета (Т.Е я получил адрес локалки 192.168.0.23) я не могу зайти на самбу.

Ciceron
() автор топика
Ответ на: комментарий от Ciceron

Давай не будем гадать )

_До_ подключения VPN iptables-save > rules.before

_После_ подключения VPN iptables-save > rules.after

Затем diff rules.before rules.after

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Большое спасибо. Теперь при подключении ВПН к серверу вижу локалку сервера. Все работает вроде как нужно. Добавил просто $IPTABLES -A INPUT -i ppp1 -j ACCEPT т.е разрешил все входящие на ppp1 (он же ВПН входящий )

Если что не будет работать отпишусь )

Ciceron
() автор топика
Ответ на: комментарий от Ciceron

хотя теперь когда я коннекчусь к серверу по впн на моем компе отпадает или ДНС или что еще... вобщем сайты не открываються )

Ciceron
() автор топика
Ответ на: комментарий от anton_jugatsu

Спасибо )

Все убрал галочку. Все просто шикарно. если бы не сказал так бы и не узнал что такое --line-numbers -vnL и iptables-save ))) Также спасибо Nao за подсказку поиска других скриптов. Оказалось при включении ВПНа срабатывало правило фарвола (решение ранее) на открыть определенный доступ. Скипты убил все кроме стандартных и ППОЕ.

Ciceron
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin