Глюки VPN + iptables.

0

0

Очень странный глюк творится на сервере.
Там настроен VPN + radius + mysql
Так вот пока не роднят фаервол, пользователи могут нормально входить по VPN. После поднятия фаервола, те кто до этого коннектился (до поднятия фаервола) продолжают коннектится, а остальных никого не пускает.
Сношу все правила (service iptables stop) - ничего не меняется, так других и не пускает.
Смотрю в логах pppd запускает радиусовские плагины, но до радиуса не доходит (смотрел на консоли с radiusd -X).
И еще одна странность первый раз скрипт фаервола запускается долго ( такое ощущение что он там где то тормозит), а потом в следующий раз перезапуск происходит быстро.
Подскажите хоть в какую сторону копать, а то уже совсем замучился.

Ссылка

←	помогите разобраться с acl

DNAT в iptables

→

>После поднятия фаервола, те кто до этого коннектился (до поднятия фаервола) продолжают коннектится, а остальных никого не пускает.

s/коннектится/работать/ ??

>(смотрел на консоли с radiusd -X)

Значит, консоль знаем :) А команду "iptables -L -n" смотрели?

>И еще одна странность первый раз скрипт фаервола запускается долго

ИМХО, загрузка модулей в ядро происходит...

>Подскажите хоть в какую сторону копать, а то уже совсем замучился.

Наверное, iptables фильтрует локальный трафик... Копать в сторону правил iptables

mky ★★★★★
(07.06.07 10:34:09 MSD)

Ответ на: комментарий от mky 07.06.07 10:34:09 MSD

А почему тогда не работает после сброса настроек фаервола.
>ИМХО, загрузка модулей в ядро происходит...
Может модуль какой то виноват?
Надо попробовать выгрузить модули и попробовать.

mnk ★
(07.06.07 10:44:01 MSD) автор топика

Ответ на: комментарий от mnk 07.06.07 10:44:01 MSD

>А почему тогда не работает после сброса настроек фаервола.

Рубаешь коннект к базе, таймауты и т.д. Еще говорят, команда есть "radtest", проверить, работает ли радиус...

>Может модуль какой то виноват? >Надо попробовать выгрузить модули и попробовать.

Не надо... Надо смотреть "iptables -L -n" когда firewall "поднят".

mky ★★★★★
(07.06.07 10:51:30 MSD)

Ссылка

А такие простые правила, как
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
не помогают ?

spirit ★★★★★
(07.06.07 12:40:01 MSD)

Ответ на: комментарий от spirit 07.06.07 12:40:01 MSD

Вобщем разобрался. Большое за это спасибо spirit'у.
Так как у меня 2 VPN соединения (к прову и в локальной сети) GRE пакеты SNAT ом пересылались мимо сервера) И к тому же это все где то кэшировалось в модулях. Поэтому просто сброс правил ничего не давал. И все начинало работать только после выгрузки всех модулей для iptables.
Все заработало, когда в правилах SNAT запретил пересылку пакетов с портом назначения 1723.

mnk ★
(08.06.07 11:24:21 MSD) автор топика