Не получается раздать интернет через PPTPD (CENTOS 5.6)

0

1

Всем привет. Centos 5.6, поставил PPTPD, настроил, подключаюсь, выдается IP 10.0.0.100, соединение установлено, лазить по сайтам сервера могу(которые на этом сервере), в интернет выйти не могу.

ping показывает IP узла, но не пингует... Видимо каких-то правил IPTABLES не хватает???

eth0 - это интернет с белым IP(статика)

ppp0 - это подключение VPN, которое появляется при подключение пользователя к сети.

Задача разрешить ppp0 выходить в инет через eth0

localip 10.0.0.1 remoteip 10.0.0.100

Включил

net.ipv4.ip_forward = 1 (прописал) после sysctl -p

в IPTABLES прописал Маскарад (обозначил NAT)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables- A FORWARD -i ppp0 -o eth0 -j ACCEPT 
iptables A FORWARD -i eth0 -o ppp0 -j ACCEPT

Вот конфиги: iptables-save


-A INPUT -s 37.190.111.1 -p tcp -m tcp --dport 1723 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH 
-A INPUT -p tcp -m tcp --dport 21 -j fail2ban-pureftpd 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable 

-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec --limit-burst 10 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 
-A INPUT -p udp -m udp --dport 3306 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1433 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: MSSQL " 
-A INPUT -p tcp -m tcp --dport 1433 -j DROP 
-A INPUT -p tcp -m tcp --dport 6670 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Deepthrt " 
-A INPUT -p tcp -m tcp --dport 6670 -j DROP 
-A INPUT -p tcp -m tcp --dport 6711 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6711 -j DROP 
-A INPUT -p tcp -m tcp --dport 6712 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6712 -j DROP 
-A INPUT -p tcp -m tcp --dport 6713 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6713 -j DROP 
-A INPUT -p tcp -m tcp --dport 12345 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12345 -j DROP 
-A INPUT -p tcp -m tcp --dport 12346 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12346 -j DROP 
-A INPUT -p tcp -m tcp --dport 20034 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 20034 -j DROP 
-A INPUT -p tcp -m tcp --dport 31337 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: BO " 
-A INPUT -p tcp -m tcp --dport 31337 -j DROP 
-A INPUT -p tcp -m tcp --dport 6000 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: XWin " 
-A INPUT -p tcp -m tcp --dport 6000 -j DROP 
-A INPUT -p udp -m udp --dport 33434:33523 -j DROP 
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -j DROP 
-A INPUT -s 89.35.160.61/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -s 188.143.232.37/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 4949 -j ACCEPT 
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3129 -j DROP 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset 
-A FORWARD -j DROP 
-A FORWARD -i ppp0 -o eth0 -j ACCEPT 
-A FORWARD -i eth0 -o ppp0 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 3128 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 6660:6669 -j DROP 
-A OUTPUT -p tcp -m tcp --dport 7000 -j DROP 
-A OUTPUT -p tcp -m owner --uid-owner mail -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m owner --uid-owner root -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable 
-A OUTPUT -j ACCEPT 
COMMIT

Что надо дописать чтобы интернет наконец-то заработал???(((

Ссылка

←	Проблем с запуском systemd-journal-remote c https

При попытке просмотра youtube перестаёт работать интернет

→

-A FORWARD -j DROP 
-A FORWARD -i ppp0 -o eth0 -j ACCEPT 
-A FORWARD -i eth0 -o ppp0 -j ACCEPT

Первое правило должно быть последним, ты в начале блокируешь все транзитные пакеты и пакет выходит из цепочки с действием DROP и в последующие два правила просто не попадает уже.

kostik87 ★★★★★
(26.03.18 00:15:52 MSK)
Последнее исправление: kostik87 26.03.18 00:17:43 MSK (всего исправлений: 1)

Ответ на: комментарий от kostik87 26.03.18 00:15:52 MSK

Спасибо! затупил я!!!

В итоге интернет появился!!! ping работает, всё супер, но сайты не открываются... Дело в MTU ?

bart212k
(26.03.18 00:32:36 MSK) автор топика

Ответ на: комментарий от bart212k 26.03.18 00:32:36 MSK

Да

kostik87 ★★★★★
(26.03.18 00:33:08 MSK)

Ответ на: комментарий от kostik87 26.03.18 00:33:08 MSK

в файле options.pptpd прописывал mtu 1400 mtu 1500 mtu 1460 не при каких не работает((( куда его прописывать?((( Подскажите пожалуйста

bart212k
(26.03.18 00:44:33 MSK) автор топика

Ответ на: комментарий от bart212k 26.03.18 00:44:33 MSK

Никуда, настрой согласование MTU, это делается в iptables, погугли.

У тебя из Internet (внешней сети) пакеты приходят с mtu 1500, а отдаются в виртуальную сеть с меньшим MTU, не пролазят.

kostik87 ★★★★★
(26.03.18 00:49:49 MSK)

Ответ на: комментарий от kostik87 26.03.18 00:49:49 MSK

 eth0      Link encap:Ethernet  HWaddr 
          inet addr:XXX.XXX.52.XXX  Bcast:XXX.XXX.XXX.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9729939304 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8999950066 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2259908018564 (2.0 TiB)  TX bytes:9102559777469 (8.2 TiB)
          Interrupt:16 Memory:b1a00000-b1a20000




ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.0.0.1  P-t-P:10.0.0.100  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:18 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1217 (1.1 KiB)  TX bytes:547 (547.0 b)

Странно, но интернета всё также нету((

bart212k
(26.03.18 00:59:33 MSK) автор топика

Ответ на: комментарий от bart212k 26.03.18 00:59:33 MSK

https://www.opennet.ru/docs/RUS/LARTC/x2657.html

kostik87 ★★★★★
(26.03.18 01:03:41 MSK)

Ответ на: комментарий от kostik87 26.03.18 01:03:41 MSK

Спасибо добрый человек за помощь, но это я уже нашёл и попробывал не помогло ((

bart212k
(26.03.18 01:06:06 MSK) автор топика

Ссылка

Ответ на: комментарий от bart212k 26.03.18 00:32:36 MSK

Откуда портянку копипастили?

-A FORWARD -p tcp -j REJECT --reject-with tcp-reset

anc ★★★★★
(26.03.18 06:40:43 MSK)

Ответ на: комментарий от anc 26.03.18 06:40:43 MSK

Спасибо! заработало :)

bart212k
(26.03.18 08:43:38 MSK) автор топика

Ответ на: комментарий от bart212k 26.03.18 08:43:38 MSK

1. Рекомендую почитать iptables tutorial (есть на русском) что бы не быть «макакой» «копипастой»
2. Если у вас действительно запущены все сервисы перечисленные в input и оно выставлено голой попой в инет, то у меня для вас плохие новости, ждите «гостей».

anc ★★★★★
(26.03.18 20:35:00 MSK)

Ответ на: комментарий от anc 26.03.18 20:35:00 MSK

спасибо! почитаю, есть ещё мини вопрос я подключаюсь по pptp и получаю IP. внутренний 10.0.0.100. Туда куда я подключаюсь этот IP пингуется, но на web порт я зайти не могу... Как это исправить? http://10.0.0.100:80 - не открывается... Трафик же я разрешил

bart212k
(29.03.18 15:48:23 MSK) автор топика

Ответ на: комментарий от bart212k 29.03.18 15:48:23 MSK

Честно не понял из вашей формулировки, откуда куда? Далее, что-то слушает на 10.0.0.100:80? netstat/ss в помощь.

anc ★★★★★
(29.03.18 22:00:08 MSK)

Ответ на: комментарий от anc 29.03.18 22:00:08 MSK

Я связываю сервер eth0 и подключением ppp0 Сервер в дата-центре (на другом конце города) и домашнюю сеть. так вот я пытаюсь с сервер дата-центра (eth0) зайти на IP, который выдал pptp 10.0.0.100, пингом пингуется но при заходе на страничку http://10.0.0.100 ничего не работает, хотя там висит веб-сервер.

Возможно ли это вообще? задача такая, я хочу пустить часть трафика из дата-центра на обработку подключением pptp 10.0.0.100 это реально?

bart212k
(29.03.18 22:19:49 MSK) автор топика

Ответ на: комментарий от bart212k 29.03.18 22:19:49 MSK

т.е мне нужно чтобы сервер из дата-центра выполнял это под внешним IP домашнего подключения

bart212k
(29.03.18 22:22:49 MSK) автор топика

Ссылка

Ответ на: комментарий от bart212k 29.03.18 22:19:49 MSK

Повторю что-то слушает на 10.0.0.100:80? netstat/ss в помощь.
ЗЫ Или 0.0.0.0:80

anc ★★★★★
(29.03.18 22:37:00 MSK)
Последнее исправление: anc 29.03.18 22:38:43 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 29.03.18 22:37:00 MSK

слушает httpd, который на windows. (appserver) Вот конфиг сервера #Listen 12.34.56.78:80 Listen 80

т.е просто без IP Прицеплено к 80 порту... с компьютера по IP http://10.0.0.100:80 открывает веб-сервер. а вот с сервера eth0 не открывает...

bart212k
(29.03.18 22:54:47 MSK) автор топика

Ответ на: комментарий от bart212k 29.03.18 22:54:47 MSK

Начинаем все сначала.
1. Давайте схему сети что бы за вас не догадываться.
2. слушает httpd, который на windows. - какой-нибудь winfw

anc ★★★★★
(29.03.18 22:58:28 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблем с запуском systemd-journal-remote c https

Admin

При попытке просмотра youtube перестаёт работать интернет

→

Похожие темы