Сервер интернета VPN настройка iptables (РЕШЕНО)

[borodadada]

Ребята, подскажите.
Сделал сервер интернета в нём 2 сетевые карты. eth0 Имеет ip 10.10.10.1 Через эту сетевую идёт подключение в интернет где провайдер мне выдаёт статический ипи адрес (222.222.222.222 - к примеру) и название подключения ppp0     А сетевая номер 2 c именем eth1 и адресом 192.168.0.1 смотрит в сторону локально сети. Поднял службу pptpd Пользователи подключаються через VPN к серверу. При подключении пользователя с реальным ипи адресом в сети (192.168.0.2) На сервере для него создаёться подключение ppp1. Вот параметры подключения

ppp1      Link encap:Point-to-Point Protocol
          inet addr:192.168.0.1  P-t-P:192.168.0.200  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:2709 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2706 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:165712 (165.7 KB)  TX bytes:164189 (164.1 KB)

Тут вроде бы всё впорядке  Адресс выдан  P-t-P:192.168.0.200

Теперь вопрос как организовать раздачу прозрачного интернета.
Я как понимаю в связи с тем что у нас адреса которые выдаються, такие же как и адреса статичные.
Тоесть делаю вывод что команда Route не нужна.
Остаёться iptables
Попытка настроить интернет для пользователей интернета.

# delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT
# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Don't forward from the outside to the inside.
iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT
iptables -A FORWARD -i eth0 -o ppp0 -j REJECT
# Enable routing.
echo 1 > /proc/sys/net/ipv4/ip_forward

С таким раскладом пользователи пингуют самую дальную точку это 222.222.222.222 Тот самый адрес который мне выда провайдер. Что за ним ни как не идёт
Ребята кто знающий, подскажите что не так.

[Гарри Кашпировский]

И почему оно будет так работать?
Где NAT для подключающихся к VPN-серверу?

[borodadada]

если не сложно, помогите разобраться на примере.
Как это записать? через ppp1-..... или через диапазан ипи адресов которые выдаются?

[Гарри Кашпировский]

вот пример

Код: [Выделить]

iptables -t nat -A POSTROUTING -s пул_VPN-адресов ! -d пул_VPN-адресов -j MASQUERADEИли через SNAT, как ты верно заметил в соседнем топике

Код: [Выделить]

iptables -t nat -A POSTROUTING  -s пул_VPN-адресов ! -d пул_VPN-адресов -j SNAT --to-source IP-адрес_ppp0Вот как-то так.

[borodadada]

спасибо Так и есть но ещё не совсем всё понял.

А именно что в поле в писывать в диапозоне 1, и что в 2

В каком то поле диапазон адресов которые были выданы... это логично. А вот что во втором немогу понять.

[Гарри Кашпировский]

Тот же пул адресов. Делается для того, что бы лишний раз NAT не загружать.

[borodadada]

Вобщем переделал всё Но проблемы 2 осталось.

1-я ДНС не работает Пингуеться только через ипи адрес.
2-я Настраиваю правила для FORWARD, и завершаю командой iptables -P FORWARD DROP
Так не работает, люди которые подключаются через впн , у них ни чего не работает.
Если ставлю   iptables -P FORWARD ACCEPT То пинг появляеться, Но так не надо. Подскажите в чём дело у этих 2х проблем.

# Переменные
LAN=eth1 # Моя локалка 192.168.0.x
PROV=eth0 # Локалка провайдера 10.x
INET=ppp0 # Интернет через туннель PPTP со статическим внешним адресом

# Чистим таблицы
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Устанавливаем правила по умолчанию
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# FORWARD
## перенаправление трафика
iptables -A FORWARD -i $LAN -o $PROV -j ACCEPT
iptables -A FORWARD -i $LAN -o $INET -j ACCEPT
## перенаправление трафика
iptables -A FORWARD -o $LAN -i $PROV -j ACCEPT
iptables -A FORWARD -o $LAN -i $INET -j ACCEPT
# Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s  МОЙАДРЕСИНЕТА -j ACCEPT


# POSTROUTING
## Преобразование адресов локальной сети
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j SNAT --to-source МОЙАДРЕСИНЕТА

Этот скрипт не работает, проблемы в FORWARD

[Гарри Кашпировский]

И не будет. Смотри правила разрешающую цепочку FORWARD. Внимательно. Аналогично с NAT.
Про DNS смотри конфиг /etc/ppp/pptpd-options на предмет строчки ms-dns.

[borodadada]

аха пасибо за подсказку про днс, я там вписывал ипи адрес сервера. Но так как нету днс службы всё тухло.

С Форвардингом вспател уже. Ни чего не могу понять. Нужно перенаправить  трафик.

iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.255.0 -j ACCEPT

Тоже не работает..... В википедии вообще нету примеров, такой цепочки для форвардинга.

[Гарри Кашпировский]

Вообще нифига не так

Код: [Выделить]

iptables -P FORWARD DROP
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 192.168.0.0/24 -j ACCEPT
Клиенты ходят в инет. Всё
Пользователь решил продолжить мысль 23 Февраля 2010, 00:08:26:

Но так как нету днс службы всё тухло.

Чего тухло? Что мешает заюзать DNS провайдера или поднять DNS-proxy (dnsmasq)?

[borodadada]

Нет нет всё впорядке ты слово тухло не так просто понял , я имелл ввиду что из за этого не работало. Сейчас вписал днс провайдера своего, всё впорядке. 

[Гарри Кашпировский]

Ну и чудесно Правь заголовок темы, что типа решено, авось кому-то еще и пригодиться.

[borodadada]

Гарри Кашпировский Спасибо тебе за помощь.
Всё работает. Все дополнительные до-настрйоки, это уже дело времени. Разбираться надо.

[pincher2012]

Скажи, а МОЙАДРЕСИНЕТА это адрес получаемый при подключении к впн?

[borodadada]

Это адрес который был получен от интернет провайдера, он статичен (pppoe) И ещё добавлю что он статичен в моём случае.