Привет всем.В линуксе я новичок не давно начал сним работать, как и в iptables (iptables изучаю по методах, по ходу дела, потому что так ничего не понятно).
Может и есть такая тема но я не нашол или не понял.
Google облазил, но ничего не помогает!!!!!!!!!!!!!!!!!!!!!
В чем сам вопрос!!!
Есть сервер с UBUNTU SERVER 10.04 + SQUID 2.7stable9
Две сетевые:
eth0 (интернет)- получаю интернет по DHCP, никакого роутера нет, просто кабель в сервер в эту сетевую.
eth1 (локалка) - 192.168.0.1 - дальше в комутатор (свич)
SQUID настроен и работет.
*******************
в "/etc/network/interfaces" прописано:
# The loopback network interface
auto lo
iface lo inet loopback
pre-up iptables-restore < /etc/iptables.up.rules
# The primary network interface
auto eth0
iface eth0 inet DHCP
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
brodcast 192.168.0.255
***********************
На всех локальных машинах интернет есть и работает без проблем, также почтовые клиенты, скайп и прочее.
Но мне еще нужно чтоб на компах из локалки можно было подключатся к удаленному серверу по VPN, тоесть:
на локальном компе сделано и настроино подклучение по VPN-каналу (минипорт PPTP),
сервер к которому нужно подключится находится в другом городе
По такой схеме:
Локальная сеть ------> UBUNTU SERVER------>интернет------->VPN-сервер.
Проблемная ситуация в том, что если один кампьютер подключился, то в то же время больше никто не может подключится. И с етим, если подключился, то почтовая клиент (The Bat)не может принять почту, и нету интернета через браузер.
Навожу следующие конфи:
*******
1. etc/iptables.up.rules
# Generated by iptables-save v1.4.4 on Thu Jun 6 11:52:45 2013
*nat
:PREROUTING ACCEPT [1910:118966]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [499:30176]
-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT --to-destination 193.41.60.8
-A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp --dport 39556 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Jun 6 11:52:45 2013
# Generated by iptables-save v1.4.4 on Thu Jun 6 11:52:45 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [100360:70025517]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
# DNS
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d pop3.yandex.ru -p tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d smtp.yandex.ru -p tcp --dport 465 -j ACCEPT
# VPN
#-A FORWARD -s 192.168.0.0/24 -d no-ip.org -p gre -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -d no-ip.org -p tcp --dport 1723 -j ACCEPT
-A FORWARD -j DROP
COMMIT
# Completed on Thu Jun 6 11:52:45 2013
*********************
2.rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
iptables -t filter -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
LOCALNET=192.168.0.0/24
pon vpn
/etc/vpn-firewall.sh
ip#tables -F
ip#tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ip#tables -A FORWARD -i eth0 -o eth0 -j REJECT
ip#tables -I FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS --clamp-mms-to-pmtu
exit 0
**************************
3. В etc/sysctl.conf --- раскоментировано “net.ipv4.conf.default.forwarding=1”
********
Вариант для распечатки
