LINUX.ORG.RU

Сообщения kalayda

 

PPTP «ест» траффик

Всем привет. Имеется:

  1. Роутер AsusWRT с локальным адресом 192.168.1.1
  2. PPTP сервер на роутере в подсети 192.168.10.0
  3. VPN клиент, получил адрес 192.168.10.2 на интерфейсе ppp10
  4. На клиенте поднят веб сервер на порту 8080.

SSH на роутер, curl 192.168.10.2:8080 - и ничего. Сервер молчит, curl висит.

В tcpdump port 8080 -i -nn запрос вижу:

21:51:44.975943 IP 192.168.1.1.53149 > 192.168.10.2.8080: Flags [S], seq 2397839047, win 5440, options [mss 1360,sackOK,TS val 499048 ecr 0,nop,wscale 2], length 0

Тот же запрос виден в логе после добавления правила iptables -A OUTPUT -p tcp --dport 8080 -j LOG:

Aug 10 00:39:50 kernel: IN= OUT=ppp10 SRC=192.168.1.1 DST=192.168.10.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62570 DF PROTO=TCP SPT=40334 DPT=8080 WINDOW=5440 RES=0x00 SYN URGP=0 

Но на входе br0 трафика на порт 8080 нет, соответственно до клиента ничего не доходит.

Маршрутизацию не трогал, она выглядит норм:

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
78.123.123.123  0.0.0.0         255.255.255.255 UH        0 0          0 eth0
192.168.10.2    0.0.0.0         255.255.255.255 UH        0 0          0 ppp10
78.123.123.120  0.0.0.0         255.255.255.252 U         0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 br0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         78.123.123.123  0.0.0.0         UG        0 0          0 eth0

В iptables тоже все вроде в порядке:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N ACCESS_RESTRICTION
-N FUPNP
-N INPUT_ICMP
-N NSFW
-N PControls
-N PTCSRVLAN
-N PTCSRVWAN
-N SECURITY
-N logaccept
-N logdrop
-A INPUT -i ppp10 -j ACCEPT
-A INPUT -i ppp10 -j LOG
-A INPUT -i br0 -p tcp -m tcp --dport 82 -j LOG
-A FORWARD -i ppp10 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ppp10 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o eth0 -j DROP
-A FORWARD -i eth0 -m state --state INVALID -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -j NSFW
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A PControls -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A SECURITY -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A SECURITY -p icmp -m icmp --icmp-type 8 -j DROP
-A SECURITY -j RETURN
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP

Подскажите, пожалуйста, в чем может быть проблема?

 , ,

kalayda
()

RSS подписка на новые темы