https://ns.opennet.dev/openforum/vsluhforumID10/3328.html Необходимо создать правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих направлениях.Каким образом в Linux это сделать? https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#20 Thu, 16 Dec 2010 11:09:30 GMT Ребята, а нужен ли он вообще?<br><br><br>iptables -A FORWARD -s $KATYA -d $CONTINENTSERV -p udp --sport 7500 --dport 4433 -o $inet -j ACCEPT<br><br>где<br>$KATYA компьютер с континентом<br>$CONTINENTSERV сервер континента<br>$inet интернет-интерфейс на шлюзе<br><br>больше он никуда и не ходит<br><br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#19 Wed, 27 Jan 2010 06:55:22 GMT &gt;&gt;В этом разница! <br>&gt;&gt;Для клиента модем является роутером, так как именно модем конектится по PPPoE, <br>&gt;&gt;получает внешний IP и пускает юзера в инет под этим IP <br>&gt;&gt;используя "свой" NAT. <br>&gt;<br>&gt;iles Читай самое первое сообщение и сразу все станет ясно. <br><br>Пля... ссори, ступил. Я просто тоже писал по такой же проблеме (там НЕ про Linux было), и решил что это "тот-же" топик.<br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#18 Wed, 27 Jan 2010 04:10:31 GMT &gt;В этом разница! <br>&gt;Для клиента модем является роутером, так как именно модем конектится по PPPoE, <br>&gt;получает внешний IP и пускает юзера в инет под этим IP <br>&gt;используя "свой" NAT. <br><br>iles Читай самое первое сообщение и сразу все станет ясно.<br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#17 Fri, 22 Jan 2010 10:26:23 GMT &gt;&gt;[оверквотинг удален]<br>&gt;&gt;.... а роутер на CentOS.<br><br>В этом разница! <br>Для клиента модем является роутером, так как именно модем конектится по PPPoE, получает внешний IP и пускает юзера в инет под этим IP используя "свой" NAT.<br><br><br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#16 Thu, 21 Jan 2010 23:18:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4441 -j DNAT --to &lt;Local&gt;<br>&gt;&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4443 -j DNAT --to &lt;Local&gt;<br>&gt;&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p 250 -j DNAT --to &lt;Local&gt;<br>&gt;&gt;iptables -t nat -A POSTROUTING -o eth1 -s &lt;Local&gt; -d &lt;Server&gt; -j MASQUERADE<br>&gt;&gt;<br>&gt;&gt;&lt;Server&gt; IP адрес сервера<br>&gt;&gt;&lt;Local&gt; IP адрес компьютера с СЭД<br>&gt;<br>&gt;Ага, это если у клиента стоит Nix-вая железка или серв. <br>&gt;А если у него тупой адсл модем со "встроенным" NAT ?? <br><br>А какая разница ? У меня клиент стоит на Windows а роутер на CentOS. На стороне клиента основным шлюзом пишим IP роутера.<br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#15 Thu, 21 Jan 2010 10:56:01 GMT &gt;[оверквотинг удален]<br>&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p udp --sport 4440 -j DNAT --to &lt;Local&gt;<br>&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4439 -j DNAT --to &lt;Local&gt;<br>&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4440 -j DNAT --to &lt;Local&gt;<br>&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4441 -j DNAT --to &lt;Local&gt;<br>&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4443 -j DNAT --to &lt;Local&gt;<br>&gt;iptables -t nat -A PREROUTING -s &lt;Server&gt; -p 250 -j DNAT --to &lt;Local&gt;<br>&gt;iptables -t nat -A POSTROUTING -o eth1 -s &lt;Local&gt; -d &lt;Server&gt; -j MASQUERADE<br>&gt;<br>&gt;&lt;Server&gt; IP адрес сервера<br>&gt;&lt;Local&gt; IP адрес компьютера с СЭД<br><br>Ага, это если у клиента стоит Nix-вая железка или серв.<br>А если у него тупой адсл модем со "встроенным" NAT ??<br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#14 Thu, 21 Jan 2010 05:38:45 GMT Вот вся реализация<br><br>iptables -t nat -A PREROUTING -s &lt;Server&gt; -p udp --sport 4440 -j DNAT --to &lt;Local&gt;<br>iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4439 -j DNAT --to &lt;Local&gt;<br>iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4440 -j DNAT --to &lt;Local&gt;<br>iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4441 -j DNAT --to &lt;Local&gt;<br>iptables -t nat -A PREROUTING -s &lt;Server&gt; -p tcp --sport 4443 -j DNAT --to &lt;Local&gt;<br>iptables -t nat -A PREROUTING -s &lt;Server&gt; -p 250 -j DNAT --to &lt;Local&gt;<br>iptables -t nat -A POSTROUTING -o eth1 -s &lt;Local&gt; -d &lt;Server&gt; -j MASQUERADE<br><br>&lt;Server&gt; IP адрес сервера<br>&lt;Local&gt; IP адрес компьютера с СЭД<br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#13 Mon, 04 May 2009 18:53:48 GMT &gt;Проблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу <br>&gt;с NAT ни в какой форме, что совсем НЕ гуд(((( К <br>&gt;примеру у клиента 10 компов, все идут через адсл модем, в <br>&gt;модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый <br>&gt;комп pppoe и вешать отдельный логин??? <br><br>А можно уточнить: какой NAT используется? В принципе для одного криптошлюза можно попытаться настроить... К нему периодически обращается центр управления сетью, поэтому это правило нужно прописать, ну и собственно обратное тоже лучше явно задать... В версии 3.5 всё инкапсулировано в UDP собственно...<br>Вообще в версии 3.6 возможно будет поддержка динамического NAТ<br><br> https://ns.opennet.dev/openforum/vsluhforumID10/3328.html#12 Tue, 03 Mar 2009 11:34:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt;(да и смысла в них нету никакого), но ни хера не <br>&gt;&gt;работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный <br>&gt;&gt;канал Информзащиты не "запускается". Админы из информазащиты говорят - у <br>&gt;&gt;вас не идет 250 протокол, у вас там фильтры стоят, и <br>&gt;&gt;все.((( Но фильтров то нет, ничего "специально" не режиться, в чем <br>&gt;&gt;дело ума не приложу.(( <br>&gt;<br>&gt;возьми в хел-деске "Информзащиты" прогу - portcheck - ставишь ее у себя <br>&gt;и ответную часть на внешнем (прямом)интерфейсе - запускаешь и смотришь - <br>&gt;прога полностью эмулирует работу Континента по портам <br><br>Проблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу с NAT ни в какой форме, что совсем НЕ гуд(((( К примеру у клиента 10 компов, все идут через адсл модем, в модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый комп pppoe и вешать отдельный логин???<br><br>