Добрый день!
Не получается открыть TCP порты для Cisco VPN Client.
Сервер выполняет роль шлюза по умолчанию для пользователей сети 192.168.7.0/24. Включен ip_forward.
Как написано в инструкции, Cisco VPN использует для UDP соединения порты 500 и 4500, а для TCP 10000.
Создал правило для TCP и для UDP соединений. При этом по UDP клиент отлично подключается, а по TCP не хочет ни в какую. В правилах ошибок не наблюдаю, то ли еще какие-то порты нужно открывать, то ли еще что-то делать. В инструкции написано, что для TCP достаточно открыть 10000. Но ничего не работает. Если включить политику по умлочанию ACCEPT для цепочки FORWARD, то TCP начинает работать. То есть дело в фильтре, конкретно в чем не могу понять. Хотя порт 10000 телнетится нормально к удаленному VPN-серверу, правило срабатывает нормально.
# Generated by iptables-save v1.6.0 on Wed Aug 3 14:44:15 2016
*filter
:INPUT DROP [230:17977]
:FORWARD DROP [12:728]
:OUTPUT ACCEPT [38:3357]
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A FORWARD -i lan -o kazna -p tcp -m tcp --dport 2598 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.7.0/24 -d 192.168.79.0/24 -p tcp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 10000 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p udp -m multiport --dports 500,4500 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Wed Aug 3 14:44:15 2016
# Generated by iptables-save v1.6.0 on Wed Aug 3 14:44:15 2016
*nat
:PREROUTING ACCEPT [505:57970]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [4:240]
:POSTROUTING ACCEPT [6:1322]
-A POSTROUTING -o kazna -j MASQUERADE
COMMIT
# Completed on Wed Aug 3 14:44:15 2016