olegk2k Опубликовано 21 марта, 2006 Жалоба Поделиться Опубликовано 21 марта, 2006 Есть проблема, прошу совета: Не могу подключиться к VPN серверу в инете с компа. который находится в моей локальной сети за фаерволом (iptables). Открываю доступ: /sbin/iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT /sbin/iptables -A FORWARD -p 47 -j ACCEPT но выдает ошибку "Disconnected" Error 619. Подскажите что открывать надо еще. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 21 марта, 2006 Жалоба Поделиться Опубликовано 21 марта, 2006 iptables -A FORWARD -j LOG и смотрите в /var/log/messages куда коннектится Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
olegk2k Опубликовано 21 марта, 2006 Автор Жалоба Поделиться Опубликовано 21 марта, 2006 iptables -A FORWARD -j LOG спасибо, логирование включил, вижу, что с адреса локальной машины идут пакеты на тот ВПН сервер по протоколу 47. Что интересно один раз выскочила другая ошибка 806, говорящая, что соединение было установлено, но ГРЕ (47) протокол где-то не пропускается ... Но я еще разрешил ГРЕ (47) протокол в INPUT и OUTPUT. не знаю, надо ли ... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 22 марта, 2006 Жалоба Поделиться Опубликовано 22 марта, 2006 Цитата: Но я еще разрешил ГРЕ (47) протокол в INPUT и OUTPUT. не знаю, надо ли ... а причем здесь INPUT и OUTPUT? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
olegk2k Опубликовано 22 марта, 2006 Автор Жалоба Поделиться Опубликовано 22 марта, 2006 это мой конфиг, может что кому подскажет ... Провайдер ГРЕ протокол не закрывает, так сказали.: #!/bin/sh # # This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here if you don't # want to do the full Sys V style init stuff. touch /var/lock/subsys/local # setup masquerade /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # firewall EXT_IP=213.167.xxx.x LOCALNET_IP=192.168.1.0/24 /sbin/iptables -F INPUT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port netbios-ns:netbios-ssn -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p udp --destination-port netbios-ns:netbios-ssn -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port 6000:6009 -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port cvspserver -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port squid -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port svn -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port www -j REJECT /sbin/iptables -A INPUT -p icmp --in-interface eth0 --icmp-type timestamp-request -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -d ! $EXT_IP -j DROP # /sbin/iptables -A INPUT -p 47 -j ACCEPT /sbin/iptables -F FORWARD /sbin/iptables -P FORWARD DROP /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # /sbin/iptables -A FORWARD -j LOG # POP3 /sbin/iptables -A FORWARD -s note -p tcp -d mail.gala.net --destination-port pop3 -j ACCEPT # IMAP /sbin/iptables -A FORWARD -s sert -p tcp -d ua.fm --destination-port imap -j ACCEPT /sbin/iptables -A FORWARD -s $LOCALNET_IP -p tcp --destination-port 5222:5223 -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port ssh -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port cvspserver -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port squid -j ACCEPT # SMTP /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port smtp -j ACCEPT /sbin/iptables -A FORWARD -s notebook -p tcp --destination-port smtp -j ACCEPT # ICQ /sbin/iptables -A FORWARD -s note1 -p tcp --destination-port 5190 -j REJECT /sbin/iptables -A FORWARD -s $LOCALNET_IP -p tcp --destination-port 5190 -j ACCEPT # FTP /sbin/modprobe ip_nat_ftp /sbin/iptables -A FORWARD -s dc12 -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -d powermagic.com.ua -p tcp --destination-port ftp -j ACCEPT /sbin/iptables -A FORWARD -s user1 -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT /sbin/iptables -A FORWARD -s 102t -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT # RDP /sbin/iptables -A FORWARD -s 212.90.165.146 -d dc12 -p tcp --destination-port 54239 -j ACCEPT /sbin/iptables -A FORWARD -s 198.47.181.223 -d dc12 -p tcp --destination-port 54239 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 54237 -j DNAT --to 192.168.1.202:54239 # VPN access /sbin/iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT # /sbin/iptables -A FORWARD -p tcp --sport 1723 -j ACCEPT /sbin/iptables -A FORWARD -p 47 -j ACCEPT /sbin/iptables -F OUTPUT /sbin/iptables -A OUTPUT -p icmp --out-interface eth0 --icmp-type timestamp-reply -j REJECT /sbin/iptables -A OUTPUT -d 224.0.0.0/8 -j DROP /sbin/iptables -A OUTPUT -p tcp --destination-port 28902 -j REJECT /sbin/iptables -A OUTPUT -p udp --destination-port 28902 -j REJECT /sbin/iptables -A OUTPUT -o eth0 -p icmp --icmp-type ! 8 -j DROP # /sbin/iptables -A OUTPUT -p 47 -j ACCEPT Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 23 марта, 2006 Жалоба Поделиться Опубликовано 23 марта, 2006 модуль ip_nat_gre не подгружен Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.