PPTP «ест» траффик
Форум — Admin
Всем привет. Имеется:
- Роутер AsusWRT с локальным адресом 192.168.1.1
- PPTP сервер на роутере в подсети 192.168.10.0
- VPN клиент, получил адрес 192.168.10.2 на интерфейсе ppp10
- На клиенте поднят веб сервер на порту 8080.
SSH на роутер, curl 192.168.10.2:8080
- и ничего. Сервер молчит, curl висит.
В tcpdump port 8080 -i -nn
запрос вижу:
21:51:44.975943 IP 192.168.1.1.53149 > 192.168.10.2.8080: Flags [S], seq 2397839047, win 5440, options [mss 1360,sackOK,TS val 499048 ecr 0,nop,wscale 2], length 0
Тот же запрос виден в логе после добавления правила iptables -A OUTPUT -p tcp --dport 8080 -j LOG
:
Aug 10 00:39:50 kernel: IN= OUT=ppp10 SRC=192.168.1.1 DST=192.168.10.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62570 DF PROTO=TCP SPT=40334 DPT=8080 WINDOW=5440 RES=0x00 SYN URGP=0
Но на входе br0 трафика на порт 8080 нет, соответственно до клиента ничего не доходит.
Маршрутизацию не трогал, она выглядит норм:
Destination Gateway Genmask Flags MSS Window irtt Iface
78.123.123.123 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
192.168.10.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp10
78.123.123.120 0.0.0.0 255.255.255.252 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 78.123.123.123 0.0.0.0 UG 0 0 0 eth0
В iptables тоже все вроде в порядке:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N ACCESS_RESTRICTION
-N FUPNP
-N INPUT_ICMP
-N NSFW
-N PControls
-N PTCSRVLAN
-N PTCSRVWAN
-N SECURITY
-N logaccept
-N logdrop
-A INPUT -i ppp10 -j ACCEPT
-A INPUT -i ppp10 -j LOG
-A INPUT -i br0 -p tcp -m tcp --dport 82 -j LOG
-A FORWARD -i ppp10 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ppp10 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o eth0 -j DROP
-A FORWARD -i eth0 -m state --state INVALID -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -j NSFW
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A PControls -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A SECURITY -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A SECURITY -p icmp -m icmp --icmp-type 8 -j DROP
-A SECURITY -j RETURN
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
Подскажите, пожалуйста, в чем может быть проблема?