LINUX.ORG.RU

pptpd + ping


0

0

Господа прошу помощи.

Настроил pptpd + Авторизация по AD (FC7). Сервер так же осуществляет маскардинг наружу. Сетка крутиться на оборудовании CISCO. Клиент получает тот же адрес, что и члены локального влана. ИП влана является для все шлюзом к 192.168.0.0/16. И вот странность, получив ИП из диапазона влана, клиент могет пинговать членов влана, но как то странно, не всех, при этом файрволы локально на машинах выключены, а шлюз к 192.168.0.0/16 он не могет пропинговать и вовсе.

Вот конфиг iptables.

# Включить перенаправление пакетов через ядро. echo 1 > /proc/sys/net/ipv4/ip_forward # Сбросить правила и удалить цепочки. $IPT -F -t nat $IPT -F $IPT -X

# Политики по умолчанию. $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT

# Разрешаем входящий SSH $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 22 -j ACCEPT

#Разрешаем VPN $IPT -A INPUT -p TCP --dport 1723 -j ACCEPT $IPT -A INPUT -p 47 -j ACCEPT

# Запрещаем любые новые подключения с внешнего интерфейса. $IPT -A INPUT -m state -i $INET_IFACE --state NEW -j DROP

# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного стату са. #$IPT -A INPUT -m state --state INVALID -j DROP #$IPT -A FORWARD -m state --state INVALID -j DROP

# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED. # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Эти правила предохраняют от некоторых типов атак: # SYN наводнение. # Приводит к связыванию системных ресурсов, так что реальных обмен данными становится не возможным. $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# UDP наводнение # Службы использующие UDP, очень часто становятся мишенью для атак с целью вывода системы из строя. $IPT -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP $IPT -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT $IPT -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT $IPT -A INPUT -p UDP -j RETURN $IPT -A OUTPUT -p UDP -s 0/0 -j ACCEPT

#Поднимаем NAT $IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE }

Подскажите, хотя бы где почитать про такую странность.

И вот что странно, extended ping с рутера локальной сетки (6509) дает пинговать впн клиента. Понимаю, что где то в iptables напортачил, но где ?

AlexNiko
() автор топика
Ответ на: комментарий от AlexNiko

1. Назначить ВПН-клиентам айпишники из другого диапазона 2. Объяснить, что такое "ИП влана", "шлюз к 192.168/16" и как соотносятся ВПН-гейт и этот шлюз 3. Напихать перед дропами и в конце списка правила на -j LOG с разными префиксами и смотреть, что где отваливается

bakagaijin
()
Ответ на: комментарий от bakagaijin

Cisco 6509 - коммутатор 3го уровня. Он осуществляет интервланрутинг, каждый влан имеет IP который является шлюзом для членов влана. Дело в том, что ВПН гейт - такой же член влана, и для того, что бы попасть в к сетям 192.168.0.0/16 он ползует IP адрес влана как шлюз. При этом сам влан в котором находиться ВПН гейт - 192.168.2.0/24, из этого же диапазона ВПН клиенты получают IP.

AlexNiko
() автор топика
Ответ на: комментарий от AlexNiko

А, понятно. Это не ИП адрес влана, это ИП адрес циски в влане. Выделите отдельную подсеть под ВПН-клиентов, потом настройте маршрутизацию на циске этой подсети через ИП-адрес ВПН-гейта в влане либо НАТ клиентов на гейте.

bakagaijin
()
Ответ на: комментарий от bakagaijin

Ну Cisco Cuides называет это vlan ip address :) А вот про НАТ клиентов на гейте, с этого места можно чуть подробнее :)?

AlexNiko
() автор топика
Ответ на: комментарий от AlexNiko

Проблема с нестабильнам пингом решилась :) А вот то, что эта машина шлюз не видит не понятно, при том что вся сеть 192.168.2.0/24 доступна, а вот 192.168.2.100 (Cisco VLAN IP) не пингуется. То есть я не могу получить доступ к шлюзу в остальную сетку компании.

AlexNiko
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.