URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96061
[ Назад ]

Исходное сообщение
"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено SlayerBon , 27-Мрт-15 18:26

Привет всем.
В линуксе я новичок не давно начал сним работать, как и в iptables (iptables изучаю по методах, по ходу дела, потому что так ничего не понятно).
Может и есть такая тема но я не нашол или не понял.
Google облазил, но ничего не помогает!!!!!!!!!!!!!!!!!!!!!
В чем сам вопрос!!!
Есть сервер с UBUNTU SERVER 10.04 + SQUID 2.7stable9
Две сетевые:
eth0 (интернет)- получаю интернет по DHCP,  никакого роутера нет, просто кабель в сервер в эту сетевую.
eth1 (локалка) - 192.168.0.1 - дальше в комутатор (свич)
SQUID настроен и работет.
*******************
в "/etc/network/interfaces" прописано:
     # The loopback network interface
       auto lo
       iface lo inet loopback
       pre-up iptables-restore < /etc/iptables.up.rules
     # The primary network interface
       auto eth0
       iface eth0 inet DHCP

        auto eth1
        iface eth1 inet static
             address 192.168.0.1
             netmask 255.255.255.0
             network 192.168.0.0
             brodcast 192.168.0.255
***********************
На всех локальных машинах интернет есть и работает без проблем, также почтовые клиенты, скайп и прочее.
Но мне еще нужно чтоб на  компах из локалки можно было подключатся к удаленному серверу по VPN, тоесть:
  на локальном компе сделано и настроино подклучение по VPN-каналу (минипорт PPTP),
  сервер к которому нужно подключится находится в другом городе
По такой схеме:
Локальная сеть ------> UBUNTU SERVER------>интернет------->VPN-сервер.
Проблемная ситуация в том, что если один кампьютер подключился, то в то же время больше никто не может подключится. И с етим, если подключился, то почтовая клиент (The Bat)не может принять почту, и нету интернета через браузер.
Навожу следующие конфи:
*******
1. etc/iptables.up.rules
# Generated by iptables-save v1.4.4 on Thu Jun  6 11:52:45 2013
*nat
:PREROUTING ACCEPT [1910:118966]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [499:30176]
-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT --to-destination 193.41.60.8
-A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp --dport 39556 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Jun  6 11:52:45 2013
# Generated by iptables-save v1.4.4 on Thu Jun  6 11:52:45 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [100360:70025517]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -j DROP

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
# DNS
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -d pop3.yandex.ru -p tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d smtp.yandex.ru -p tcp --dport 465 -j ACCEPT

# VPN
#-A FORWARD -s 192.168.0.0/24 -d no-ip.org -p gre -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -d no-ip.org -p tcp --dport 1723 -j ACCEPT

-A FORWARD -j DROP
COMMIT
# Completed on Thu Jun  6 11:52:45 2013
*********************
2.rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
iptables -t filter -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
LOCALNET=192.168.0.0/24

pon vpn
/etc/vpn-firewall.sh
ip#tables -F
ip#tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ip#tables -A FORWARD -i eth0 -o eth0 -j REJECT
ip#tables -I FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS --clamp-mms-to-pmtu
exit 0
**************************
3. В etc/sysctl.conf --- раскоментировано “net.ipv4.conf.default.forwarding=1”
********

Содержание

Проброс GRE-пакетов на Ubuntu Server 10.04,ALex_hha, 23:21 , 27-Мрт-15
- Проброс GRE-пакетов на Ubuntu Server 10.04,SlayerBon, 10:53 , 30-Мрт-15
  - Проброс GRE-пакетов на Ubuntu Server 10.04,ALex_hha, 11:20 , 30-Мрт-15
- Проброс GRE-пакетов на Ubuntu Server 10.04,SlayerBon, 17:13 , 21-Апр-15
  - Проброс GRE-пакетов на Ubuntu Server 10.04,ALex_hha, 17:41 , 21-Апр-15
Проброс GRE-пакетов на Ubuntu Server 10.04,pavel_simple, 17:30 , 21-Апр-15
- Проброс GRE-пакетов на Ubuntu Server 10.04,SlayerBon, 17:45 , 21-Апр-15
  - Проброс GRE-пакетов на Ubuntu Server 10.04,pavel_simple, 17:53 , 21-Апр-15
    - Проброс GRE-пакетов на Ubuntu Server 10.04,pavel_simple, 17:55 , 21-Апр-15
      - Проброс GRE-пакетов на Ubuntu Server 10.04,SlayerBon, 12:54 , 20-Май-15
        
        Проброс GRE-пакетов на Ubuntu Server 10.04,SlayerBon, 11:43 , 25-Май-15
        
        Проброс GRE-пакетов на Ubuntu Server 10.04,SlayerBon, 08:50 , 18-Июн-15
        
        Проброс GRE-пакетов на Ubuntu Server 10.04,ALex_hha, 10:25 , 18-Июн-15

Сообщения в этом обсуждении

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено ALex_hha , 27-Мрт-15 23:21

> Проблемная ситуация в том, что если один кампьютер подключился, то в то
> же время больше никто не может подключится. И с етим, если
> подключился, то почтовая клиент (The Bat)не может принять почту, и нету
> интернета через браузер.
нужно загрузить следующие модули
nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre
ну убунте они могут немного отличаться по названию

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено SlayerBon , 30-Мрт-15 10:53

> нужно загрузить следующие модули
> nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre
> ну убунте они могут немного отличаться по названию
Это как?
modprobe nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre
или
insmod nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre ????
Ичто потом с ними сделать?
Настраивать их нужно или нет?

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено ALex_hha , 30-Мрт-15 11:20

>> нужно загрузить следующие модули
>> nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre
>> ну убунте они могут немного отличаться по названию
> Это как?
Например, в centos 5 модуль называется ip_nat_pptp, а в CentOS 6 он же - nf_nat_pptp
> modprobe nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre
> или
> insmod nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre ????
modprobe
> И что потом с ними сделать?
ничего
> Настраивать их нужно или нет?
не нужно

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено SlayerBon , 21-Апр-15 17:13

>> Проблемная ситуация в том, что если один кампьютер подключился, то в то
>> же время больше никто не может подключится. И с етим, если
>> подключился, то почтовая клиент (The Bat)не может принять почту, и нету
>> интернета через браузер.
> нужно загрузить следующие модули
> nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre
> ну убунте они могут немного отличаться по названию
НЕ ПОМОГЛО

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено ALex_hha , 21-Апр-15 17:41

> НЕ ПОМОГЛО
телепаты в отпуске

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено pavel_simple , 21-Апр-15 17:30

>[оверквотинг удален]
> eth0 (интернет)- получаю интернет по DHCP,  никакого роутера нет, просто кабель
> в сервер в эту сетевую.
> eth1 (локалка) - 192.168.0.1 - дальше в комутатор (свич)
> SQUID настроен и работет.
> *******************
> в "/etc/network/interfaces" прописано:
>      # The loopback network interface
>        auto lo
>        iface lo inet loopback
>        pre-up iptables-restore < /etc/iptables.up.rules
вот сдесть нужно добавить || /bin/true
>[оверквотинг удален]
> Навожу следующие конфи:
>  *******
>  1. etc/iptables.up.rules
> # Generated by iptables-save v1.4.4 on Thu Jun  6 11:52:45 2013
> *nat
> :PREROUTING ACCEPT [1910:118966]
> :POSTROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [499:30176]
> -A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT
> --to-destination 193.41.60.8
не привык все идентификационные сведения прятать? помимо прочего, проще dnsmasq поставить чем dnat'ить запросы на dns
>[оверквотинг удален]
> COMMIT
> # Completed on Thu Jun  6 11:52:45 2013
> # Generated by iptables-save v1.4.4 on Thu Jun  6 11:52:45 2013
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [100360:70025517]
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
тут нужно поставить имя интерфейса, иначе сосед может пользоваться проксёй
>[оверквотинг удален]
> # Make sure that the script will "exit 0" on success or
> any other
> # value on error.
> #
> # In order to enable or disable this script just change the
> execution
> # bits.
> #
> # By default this script does nothing.
> iptables -t filter -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
в таблице filter нет цепочки POSTROUTING
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
два привила выше делают одно и то-же, но это не страшно, потому-что ещё более раньше написаны другие правила в скрипте для iptables
>[оверквотинг удален]
> pon vpn
> /etc/vpn-firewall.sh
> ip#tables -F
> ip#tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> ip#tables -A FORWARD -i eth0 -o eth0 -j REJECT
> ip#tables -I FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS --clamp-mms-to-pmtu
> exit 0
> **************************
> 3. В etc/sysctl.conf --- раскоментировано “net.ipv4.conf.default.forwarding=1”
> ********
ничё непонятно -- потому что конфигурируется firewall в двух= совсем разных местах, а итоговая картина неясна.
скорее всего трафик tcp 1723 + gre просто не разжешен, потому-что таких правил я не увидел
можно получить выхлоп iptables-save с рабочей машины уже после загрузки и поднятия vpn?

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено SlayerBon , 21-Апр-15 17:45

> ничё непонятно -- потому что конфигурируется firewall в двух= совсем разных местах,
> а итоговая картина неясна.
> скорее всего трафик tcp 1723 + gre просто не разжешен, потому-что таких
> правил я не увидел
> можно получить выхлоп iptables-save с рабочей машины уже после загрузки и поднятия
> vpn?
Сегодня немножко шаманил
iptables-save:
# Generated by iptables-save v1.4.4 on Tue Apr 21 17:01:04 2015
*mangle
:PREROUTING ACCEPT [63448:49260201]
:INPUT ACCEPT [43592:33575341]
:FORWARD ACCEPT [19416:15660102]
:OUTPUT ACCEPT [46992:33367687]
:POSTROUTING ACCEPT [66575:49055278]
COMMIT
# Completed on Tue Apr 21 17:01:04 2015
# Generated by iptables-save v1.4.4 on Tue Apr 21 17:01:04 2015
*filter
:INPUT ACCEPT [76:7086]
:FORWARD ACCEPT [94:8233]
:OUTPUT ACCEPT [1390:323978]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8/32 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8/32 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.251.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.250.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p gre -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p gre -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.251.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.250.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
COMMIT
# Completed on Tue Apr 21 17:01:04 2015
# Generated by iptables-save v1.4.4 on Tue Apr 21 17:01:04 2015
*nat
:PREROUTING ACCEPT [96:7206]
:POSTROUTING ACCEPT [2:334]
:OUTPUT ACCEPT [80:5235]
-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT --to-destination 193.41.60.8
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 39556 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Apr 21 17:01:04 2015

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено pavel_simple , 21-Апр-15 17:53

>[оверквотинг удален]
> # Completed on Tue Apr 21 17:01:04 2015
> # Generated by iptables-save v1.4.4 on Tue Apr 21 17:01:04 2015
> *filter
> :INPUT ACCEPT [76:7086]
> :FORWARD ACCEPT [94:8233]
> :OUTPUT ACCEPT [1390:323978]
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
сдесь можно сделать вывод что порты самого рутера у вас открыты, т.к. ни политикой не правилом дальнейшая обработка входящих пакетов не регламентирована.
>[оверквотинг удален]
> -A FORWARD -s 192.168.0.0/24 -d 93.158.134.38/32 -p tcp -m tcp --dport 465
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -d 213.180.193.38/32 -p tcp -m tcp --dport 465
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -d 213.180.204.38/32 -p tcp -m tcp --dport 465
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -d 77.88.21.38/32 -p tcp -m tcp --dport 465
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -d 87.250.250.38/32 -p tcp -m tcp --dport 465
> -j ACCEPT
вот чтобы всего этого свинства небыло нужно либо использовать tcp/pop3/imap/smtp прокси либо использовать ipset ^^^ все эти правила через dns резолвинг это очень некрасиво, помимо прочего, вам действительно важно чтобы ваши пользователи не "ходили" по другим ssl smtp/imap?
вот чтобы у вас из нури сети устанавливались pptp vpn соединения нужно сюда вставить
-A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 1723 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.0/24 -p gre -j ACCEPT
> -A OUTPUT -p gre -j ACCEPT
это правило не нужно -- т.к. политика на output ACCEPT
>[оверквотинг удален]
> :PREROUTING ACCEPT [96:7206]
> :POSTROUTING ACCEPT [2:334]
> :OUTPUT ACCEPT [80:5235]
> -A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT
> --to-destination 193.41.60.8
> -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT
> --to-ports 3128
> -A PREROUTING -i eth1 -p tcp -m tcp --dport 39556 -j REDIRECT
> --to-ports 3128
> -A POSTROUTING -o eth0 -j MASQUERADE
^^^это нужно убрать -- потому что правило ниже такое-же
> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
> COMMIT
> # Completed on Tue Apr 21 17:01:04 2015

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено pavel_simple , 21-Апр-15 17:55

>[оверквотинг удален]
>> --to-destination 193.41.60.8
>> -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT
>> --to-ports 3128
>> -A PREROUTING -i eth1 -p tcp -m tcp --dport 39556 -j REDIRECT
>> --to-ports 3128
>> -A POSTROUTING -o eth0 -j MASQUERADE
> ^^^это нужно убрать -- потому что правило ниже такое-же
>> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
>> COMMIT
>> # Completed on Tue Apr 21 17:01:04 2015
для проверки нужно отредактировать сохранить iptables-save в файл, отретактировать его, а после водрузить через iptables-restore <file

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено SlayerBon , 20-Май-15 12:54

Был в отпуске и дело отложилось.
Вобщем в последнем примере моего iptables-save, все правила перед манипуляциями я сбрасывал:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
И после добавления нових наново, кокбы подтянулись старые(не знаю почему).
И так что я буду дальше делать (что не так подскажите сразу):
  1. Сброшу опять все правила
     iptables -F
     iptables -X
     iptables -t nat -F
     iptables -t nat -X
     iptables -t mangle -F
     iptables -t mangle -X

   2. Удалю файл  iptables.up.rules  из каталога etc/
   3. Удалю правила из фйла rc.local (может они мешают)
   4. Ввод новых правил iptables:
     iptables -P INPUT DROP
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
        #Разрешаем прохождение любого трафика по интерфейсу обратной петли
     iptables -A INPUT -i lo -j ACCEPT
     iptables -A OUTPUT -o lo -j ACCEPT
        # Принимать все пакеты, которые инициированы из уже установленного соединения,
       иимеющим признак ESTABLISHED.
        # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
     iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
     iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

       # UDP наводнение
       # Службы использующие UDP, очень часто становятся мишенью для атак с целью вывода
       системы из строя.
    iptables -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
    iptables -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
    iptables -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
    iptables -A INPUT -p UDP -j RETURN
    iptables -A OUTPUT -p UDP -s 0/0 -j ACCEPT

       # почта
     iptables -A FORWARD -s 192.168.0.0/24 -d pop3.yandex.ru -p tcp --dport 995 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -d smtp.yandex.ru -p tcp --dport 465 -j ACCEPT
       # VPN
     iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 1723 -j ACCEPT
     iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p gre -j ACCEPT
       #
     iptables -A POSTROUTING -o eth0 -j MASQUERADE
      #
     iptables -t filter -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
     iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
      # Может еще что-то?
   5. Вот с етим /etc/vpn-firewall.sh - не знаю что делать, его вывод:
      #!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
iptables -flush
iptables -delete-chain
iptables -table nat -flush
iptables -table nat -delete-chain
iptables -P FORWARD ACCEPT
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -table nat -append POSTROUTING -out-interface eth0 -j MASQUERADE
echo vpn firewall loaded OK.
    6. Посоветуйте что еще.

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено SlayerBon , 25-Май-15 11:43

>Помогите кто нибуть

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено SlayerBon , 18-Июн-15 08:50

!!!! РЕШЕНО !!!
После долгих поисков в интернете нашол решение и оно работает!
Вся проблема была в модулях iptables:
ip_gre
ip_conntrack_pptp
ip_nat_pptp
Тоесть какие бы правила в iptables не вводил и не сохранял их, всеравно одновременное подкльчение по VPN нескольких клиентов не получалось
В итоге я сделал:
modprobe ip_gre
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp
потом перезагрузил сеть: /etc/init.d/networking restart
вуаля все работает.
Но после перезагрузки компьютера полностью не работает
Посмотрел вывод - lsmod ----- нету в загрузке этих модулей. Решил их тогда прописать в загрузку. Искал долго (какбы где их прописать наводки были, но как нету).
Тогда я их вписал в /etc/network/interfaces
pre-up modprobe ip_gre
pre-up modprobe ip_conntrack_pptp
pre-up modprobe ip_nat_pptp
В итоге получилось так- вывод interfaces:
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
   pre-up iptables-restore < /etc/iptables.up.rules
   pre-up modprobe ip_gre
   pre-up modprobe ip_conntrack_pptp
   pre-up modprobe ip_nat_pptp

# The primary network interface
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        brodcast 192.168.0.255
потом перезгрузка и показ lsmod, вуля - модули загружены и все работает.
РАБОТАЕТ
А то что при подключении по VPN пропадал интернет на клиентской машине(под управлением Windows)----
просто в настройках подключения VPN в настройках сети - убрать галочку "изпользовать шлюз как основной", и все.

"Проброс GRE-пакетов на Ubuntu Server 10.04"
Отправлено ALex_hha , 18-Июн-15 10:25

> Вся проблема была в модулях iptables:
я об этом писал еще месяц назад :facepalm: !!!
> нужно загрузить следующие модули
> nf_nat_pptp nf_conntrack_pptp nf_nat_proto_gre nf_conntrack_proto_gre
> ну убунте они могут немного отличаться по названию