Есть шлюз на RH, iptables фильтрует трафик. Шлюз выводит в Инет локалку 192.168.х.у Пользователи в локалке - под Win98.
Приспичило им использовать банк-клиент через Интернет. С помощью техподдержки банка понастраивали себе PPTP. Пытаются выйти - не получается. Банковские админы всё сваливают на мой фаервол на шлюзе.
Общался с ними - просили открыть порт 1234 (к примеру). НО - у меня для локалки и так всё открыто:iptables -A FORWARD -i интерфейс_локалки -s адреса_локалки \
-o интерфейс_инета -j ACCEPTiptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Как всё-таки выпустить этого клиента банка? Что ему надо? Никто не сталкивался?
>Есть шлюз на RH, iptables фильтрует трафик. Шлюз выводит в Инет локалку
>192.168.х.у Пользователи в локалке - под Win98.
>Приспичило им использовать банк-клиент через Интернет. С помощью техподдержки банка понастраивали себе
>PPTP. Пытаются выйти - не получается. Банковские админы всё сваливают на
>мой фаервол на шлюзе.
>Общался с ними - просили открыть порт 1234 (к примеру). НО -
>у меня для локалки и так всё открыто:
>
>iptables -A FORWARD -i интерфейс_локалки -s адреса_локалки \
>-o интерфейс_инета -j ACCEPT
>
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>Как всё-таки выпустить этого клиента банка? Что ему надо? Никто не сталкивался?
>
Если я правильно понял, тебе на шлюзе нужно уметь делать pptp passthrough. Ищи в интернете что-то типа VPN-Masquerade.Илья.
Для работы PPTP через НАТ iptables и ядро должны быть собраны с поддержкой conntrack GRE,PPTPПосле чего insmod ip_nat_pptp
Спасибо!
Буду искать и пробовать.
Если не получится - сообщу и буду рад дополнительной информации!
Заработало!Действительно, для pptp из-под NAT'а оказались нужны
ip_nat_pptp и ip_nat_proto_greДля MDK 9.2 (ядро 2.4.22, iptables 1.2.8) ничего пересобирать не пришлось. Оказалось достаточно
modprobe ip_nat_pptp
modprobe ip_nat_proto_greУ другого человека, на машине с iptables-1.2.6a-1.asp.i386.rpm и ядром 2.4.25 от kernel.org, пришлось скачать патчи к ядру и новый iptables
ftp://ftp.netfilter.org/pub/patch-o-matic/patch-o-matic-2003...
ftp://ftp.netfilter.org/pub/iptables/iptables-1.2.9.tar.bz2После пропатчивания, сборки ядра и установки iptables - modprobe ip_nat_pptp
В итоге, вот какие модули загружены:
# lsmod|grep ip|awk '{print $1}'
ip_nat_proto_gre
ip_conntrack_pptp
ip_nat_pptp
ip_conntrack_proto_gre
iptable_nat
ip_conntrack
iptable_filter
ip_tables
>Заработало!
>Действительно, для pptp из-под NAT'а оказались нужны
>ip_nat_pptp и ip_nat_proto_greНу, дык! :) Кто бы сомневался!
Поздравляю :)
>Есть шлюз на RH, iptables фильтрует трафик. Шлюз выводит в Инет локалку
>192.168.х.у Пользователи в локалке - под Win98.
>Приспичило им использовать банк-клиент через Интернет. С помощью техподдержки банка понастраивали себе
>PPTP. Пытаются выйти - не получается. Банковские админы всё сваливают на
>мой фаервол на шлюзе.
>Общался с ними - просили открыть порт 1234 (к примеру). НО -
>у меня для локалки и так всё открыто:
>
>iptables -A FORWARD -i интерфейс_локалки -s адреса_локалки \
>-o интерфейс_инета -j ACCEPT
>
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>Как всё-таки выпустить этого клиента банка? Что ему надо? Никто не сталкивался?
>
Поинтересуйся у банкиров, не просит ли этот клиент-банк реальный IP, может его от NAT-а колбасит....Посмотри tcpdump-ом как идет обмен пакетами, и где затык...
>Поинтересуйся у банкиров, не просит ли этот клиент-банк реальный IP, может его от NAT-а колбасит....???
Я ж вроде отписался - проблема решена... :)
Банкиры по поводу NATа не заморачиваются. Выдали настройки - и всё, гуляй, Вася...
Проблема была в том, что не были подключены модули поддержки тунелирующих протоколов... Вобщем, см. выше.