Nat через ppp

[Vir]

Есть скрипт для nat:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#########
# VARIBLES #
########
WAN_ADDR=192.0.4.146
WAN_DEV=eth0
LAN_DEV=eth1
LAN_GATE=192.168.0.3
LAN_SUBNET=192.168.0.0/16
###########
# RESET RULES #
##########
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# reset the default policies in the nat table.
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# reset the default policies in the mangle table.
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# flush all the rules in the filter and nat tables.
iptables -F
iptables -t nat -F
iptables -t mangle -F
# erase all chains that's not default in filter and nat table.
iptables -X
iptables -t nat -X
iptables -t mangle -X
###########
# LOCAL RULES #
###########
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m tcp -s 195.239.230.35 -p tcp --dport 22 -j ACCEPT
###########
# NAT OUTPUT #
###########
iptables -t nat -A POSTROUTING -o ${WAN_DEV} -j SNAT --to-source ${WAN_ADDR}
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp -s ${LAN_SUBNET} -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -s ${LAN_SUBNET} -j ACCEPT
iptables -A FORWARD -p udp -m udp --dport 53 -s ${LAN_SUBNET} -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s ${LAN_SUBNET} -j ACCEPT

##########
# SERVER PUB #
##########
#www in
#iptables -t nat -A PREROUTING -d ${WAN_ADDR} -p tcp --dport 80 -j DNAT --to-destination 10.10.10.11
#iptables -A FORWARD -p tcp -m tcp --dport 80 -d 192.168.0.4 -j ACCEPT
#ftp in
#iptables -t nat -A PREROUTING -d ${WAN_ADDR} -p tcp --dport 21 -j DNAT --to-destination 10.10.10.11
#iptables -A FORWARD -p tcp -m tcp --dport 21 -d 192.168.0.4 -j ACCEPT
#PosrgreSQL
iptables -t nat -A PREROUTING -d ${WAN_ADDR} -p tcp --dport 5432 -j DNAT --to-destination 10.10.10.11
iptables -A FORWARD -p tcp -m tcp --dport 5432 -d 192.168.0.4 -j ACCEPT


##########
# FOR OTHER #
##########
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
######
# SAVE #
######
iptables-save > /etc/iptables.rules

WAN_ADDR – ip адрес, который смотрит в интернет
WAN_DEV – имя устройства, которое смотрит в интернет
LAN_DEV – имя устройства, которое смотрит в локальную сеть
LAN_GATE – ip адрес, который смотрит в локалку
LAN_SUBNET – локальная подсеть

При таких настройках я могу соединиться с локалкой провайдера. Но внешний интернет не работает все равно.

Как сделать, чтобы работало ppp0 соединение?  На ppp0 статический адрес.

[Mam(O)n]

Что не работает? NAT?

WAN_DEV=eth0

и

работало ppp0 соединение?

Как то не вяжется.

[Vir]

Этот конфиг скрипта позволяет выпускать меня в локальную сеть.

Если указываю внешний интерфейс ppp0 и его ip и перезапускаю скрипт. Интернет не работает.

Пробовал включать модули
modprobe ip_gre
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp

Так же не вышло.

[Mam(O)n]

Этот конфиг скрипта позволяет выпускать меня в локальную сеть.

Так куда надо, в локалку или в инет?

Если указываю внешний интерфейс ppp0 и его ip и перезапускаю скрипт. Интернет не работает.

Сам инет на сервере работает? Как проверяешь работу инета? Какой dns и шлюз у клиента настроен?

Пробовал включать модули
modprobe ip_gre
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp

Так же не вышло.

Это для пропуска pptp через nat. Зачем оно тебе?

[Vir]

Сервер на ubuntu 9.04
Поднят dhcp-сервер, раздающий нескольким машинам ip адреса.

(Нажмите, чтобы показать/скрыть)

subnet 192.168.0.0 netmask 255.255.255.0 {
        option          domain-name-servers     192.0.4.1, 192.0.4.2;
        option          netbios-name-servers    192.0.4.1, 192.0.4.2;
host test2 {
        hardware ethernet              00:0C:6E:54:47:98;
        fixed-address                   192.168.0.5;
        option routers                  192.168.0.3;
}
host my-comp {
        hardware ethernet               00:21:27:C4:E9:65;
        fixed-address                   192.168.0.4;
        option routers                  192.168.0.3;
}
host test1 {
#       hardware ethernet               00:1E:8C:BD:7B:A7;
        hardware ethernet               00:13:77:49:14:c5;
        fixed-address                   192.168.0.9;
        option routers                  192.168.0.3;
}
host test {
#       hardware ethernet               00:d0:b7:b6:53:c3;
#       hardware ethernet               00:14:78:02:00:4a;
        hardware ethernet               00:10:dc:fd:79:35;
        fixed-address                   192.168.0.2;
        option routers                  192.168.0.3;
}

Надо в инет. На сервере поднято vpn соединение, т.к. провайдер использует его.

[Mam(O)n]

Поднят dhcp-сервер, раздающий нескольким машинам ip адреса.

Машины получают настройки? Непосредственно с сервера в инет выходит? Как проверяешь работу инета?

Еще интересно взглянуть на
ifconfig -a
route -n
sudo iptables-save
nslookup ya.ru

[Vir]

Да, с дхцп машины получают адреса. Выходят через проксю, но нужно проксю заменить натом.

ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:0d:61:00:cf:4e
          inet addr:192.0.4.146  Bcast:192.0.255.255  Mask:255.255.0.0
          inet6 addr: 2002:c000:4e5:8:20d:61ff:fe00:cf4e/64 Scope:Global
          inet6 addr: fe80::20d:61ff:fe00:cf4e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9415804 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11281523 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1520862315 (1.5 GB)  TX bytes:1456289549 (1.4 GB)
          Interrupt:21 Base address:0xa800

eth1      Link encap:Ethernet  HWaddr 00:e0:4c:14:f2:bf
          inet addr:192.168.0.3  Bcast:192.168.0.0  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe14:f2bf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:309722 errors:0 dropped:0 overruns:0 frame:0
          TX packets:486220 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:27660917 (27.6 MB)  TX bytes:652023197 (652.0 MB)
          Interrupt:21 Base address:0x9000

gre0      Link encap:UNSPEC  HWaddr 00-00-00-00-3A-66-32-62-00-00-00-00-00-00-00-00
          NOARP  MTU:1476  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:86664 errors:0 dropped:0 overruns:0 frame:0
          TX packets:86664 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:10153377 (10.1 MB)  TX bytes:10153377 (10.1 MB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:195.***.***.***  P-t-P:10.64.64.64  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:379186 errors:0 dropped:0 overruns:0 frame:0
          TX packets:526700 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:58297087 (58.2 MB)  TX bytes:38392429 (38.3 MB)

route -n

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.0.5.254     0.0.0.0         255.255.255.255 UH    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.0.0.0       0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

 iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Fri Mar 12 23:19:23 2010
*mangle
:PREROUTING ACCEPT [204217:19718821]
:INPUT ACCEPT [16493824:2316441696]
:FORWARD ACCEPT [4691:628524]
:OUTPUT ACCEPT [278455:24817199]
:POSTROUTING ACCEPT [23380209:2901661907]
COMMIT
# Completed on Fri Mar 12 23:19:23 2010
# Generated by iptables-save v1.4.1.1 on Fri Mar 12 23:19:23 2010
*nat
:PREROUTING ACCEPT [13432:1319756]
:POSTROUTING ACCEPT [13379:805141]
:OUTPUT ACCEPT [13366:804071]
COMMIT
# Completed on Fri Mar 12 23:19:23 2010
# Generated by iptables-save v1.4.1.1 on Fri Mar 12 23:19:23 2010
*filter
:INPUT ACCEPT [198430:18869772]
:FORWARD ACCEPT [42:3311]
:OUTPUT ACCEPT [278456:24817231]
COMMIT
# Completed on Fri Mar 12 23:19:23 2010

 nslookup ya.ru
Server:         192.0.4.2
Address:        192.0.4.2#53

Non-authoritative answer:
Name:   ya.ru
Address: 77.88.21.8
Name:   ya.ru
Address: 93.158.134.8
Name:   ya.ru
Address: 213.180.204.8

[Mam(O)n]

Правила iptables не прописаны.

Делай так. Создай файлик /etc/network/if-up.d/iptables-init:

Код: [Выделить]

#!/sbin/iptables-restore
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -i eth1 -j ACCEPT
COMMIT
#

Дай ему права на исполнение

Код: [Выделить]

sudo chmod +x /etc/network/if-up.d/iptables-initи запусти инициализацию

Код: [Выделить]

/etc/network/if-up.d/iptables-init
Это включит nat для eth0 и ppp0. Правила для INPUT дописывай уже сам на своё усмотрение, а то щас посоветую, а у тебя доступ пропадёт какой-нибудь.

[Vir]

Спасибо! Это помогло. Проблема заключается в том, что gmail стал открываться жутко долго, как будто бы у меня диал-ап соединение. В чем может быть проблема? Все остальные почтовики, работающие через https работают быстро.

[Mam(O)n]

PMTU Discovery похоже не работает на клиенте. Если не получается настроить клиента, то можно прибить гвоздями MSS к PMTU на сервере. Для этого тот файл измени так:

Код: [Выделить]

#!/sbin/iptables-restore
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -i eth1 -j ACCEPT
COMMIT
#


[Vir]

Сохранил, попробовал:
/etc/network/if-up.d/iptables-init
/etc/network/if-up.d/iptables-init: line 1: *mangle: command not found
/etc/network/if-up.d/iptables-init: line 2: :PREROUTING: command not found
/etc/network/if-up.d/iptables-init: line 3: :INPUT: command not found
/etc/network/if-up.d/iptables-init: line 4: :FORWARD: command not found
/etc/network/if-up.d/iptables-init: line 5: :OUTPUT: command not found
/etc/network/if-up.d/iptables-init: line 6: :POSTROUTING: command not found
/etc/network/if-up.d/iptables-init: line 7: -A: command not found
/etc/network/if-up.d/iptables-init: line 8: COMMIT: command not found
/etc/network/if-up.d/iptables-init: line 9: *nat: command not found
/etc/network/if-up.d/iptables-init: line 10: :PREROUTING: command not found
/etc/network/if-up.d/iptables-init: line 11: :POSTROUTING: command not found
/etc/network/if-up.d/iptables-init: line 12: :OUTPUT: command not found
/etc/network/if-up.d/iptables-init: line 13: -A: command not found
/etc/network/if-up.d/iptables-init: line 14: -A: command not found
/etc/network/if-up.d/iptables-init: line 15: COMMIT: command not found
/etc/network/if-up.d/iptables-init: line 16: *filter: command not found
/etc/network/if-up.d/iptables-init: line 17: :INPUT: command not found
/etc/network/if-up.d/iptables-init: line 18: :FORWARD: command not found
/etc/network/if-up.d/iptables-init: line 19: :OUTPUT: command not found
/etc/network/if-up.d/iptables-init: line 20: -A: command not found
/etc/network/if-up.d/iptables-init: line 21: -A: command not found
/etc/network/if-up.d/iptables-init: line 22: COMMIT: command not found
 

[Mam(O)n]

Такое впечатление, что #!/sbin/iptables-restore не хватает.

[Vir]

Спасибо! Стало быстрее, но вложения не прикрепить. В других почтовиках работает. Гугловая почта работает не полностью.

[Mam(O)n]

Хм. А если вместо

Код: [Выделить]

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu сделать

Код: [Выделить]

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1000

[Vir]

Работать стало быстрее, но проблема во флешовом загрузчике и загрузке в целом на гугле. Да и инетрент медленно стал работать. Прослушивание музыки онлайн тепреь через флеш грузиться так же медленно.