Шлюз и Континент_АП

[MonoLife]

Странная ситуация, мне, лично не понятная 
Комп, на котором стоит казначейская программа, ходит через шлюз ubuntu-server (squid не установлен), как и несколько других обычных виндовых машин.
Если работает эта программа (транспорт по UDP/TCP протоколам, в основном UDP) то не открываются страницы http. Стоит её выключить - как все нормально. То есть, невозможно одновременно работать в интернете и работать с СЭД Континент-АП на этом компе.
Шлюз настраивал по этой инструкции. В локальную сеть интернет раздается нормально.
В чем затык, ума не приложу..
ifconfig:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0 Link encap:Ethernet HWaddr 00:40:f4:6f:4a:cb
inet addr:x.x.x.x Bcast:x.x.x.x Mask:255.255.255.252
inet6 addr: fe80::240:f4ff:fe6f:4acb/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2016 errors:0 dropped:0 overruns:0 frame:0
TX packets:2163 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1071549 (1.0 MB) TX bytes:600071 (600.0 KB)
Interrupt:19 Base address:0xd800

eth1 Link encap:Ethernet HWaddr 00:15:f2:17:0e:58
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::215:f2ff:fe17:e58/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:32073 errors:0 dropped:0 overruns:0 frame:0
TX packets:2059 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:9576325 (9.5 MB) TX bytes:1063713 (1.0 MB)
Interrupt:23 Base address:0xa000

lo Link encap:Локальная петля (Loopback)
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4338 (4.3 KB) TX bytes:4338 (4.3 KB)


=======================
iptables-save:
=======================

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*nat
:PREROUTING ACCEPT [32337:9597682]
:POSTROUTING ACCEPT [251:15856]
:OUTPUT ACCEPT [251:15856]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [34868:9845575]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1018:141608]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT

[shumtest]

Возможно программа просто перехватывает все обращения к внешнему миру. Проверь - при прямом подключении к нету - проблема исчезает или остается?

[MonoLife]

Возможно программа просто перехватывает все обращения к внешнему миру

Вполне возможно, канал забит под завязку:)
А что значит "прямое подключение"? Сейчас это комп ходит ч/з шлюз убунты-сервера без прокси, почти на прямую, раньше ходил ч/з юзергейт и такого поведения не наблюдалось. Можно, конечно, предположить, что UG как-то притормаживал прохождение трафика и распределял его.. хз..

[El Scorpio]

Странная ситуация, мне, лично не понятная 
Комп, на котором стоит казначейская программа, ходит через шлюз ubuntu-server (squid не установлен), как и несколько других обычных виндовых машин.
Если работает эта программа (транспорт по UDP/TCP протоколам, в основном UDP) то не открываются страницы http. Стоит её выключить - как все нормально. То есть, невозможно одновременно работать в интернете и работать с СЭД Континент-АП на этом компе.

Ну "казначейские программы" - это отдельный разговор за гранью цензуры
Возможно, из-за большого потока информации глушатся запросы DNS. Кэширующий DNS-прокси на сервере используется?

[MonoLife]

Кэширующий DNS-прокси на сервере используется?

Нет.

squid не установлен

Подозреваю, что с ним, возможно континент не будет забивать канал..
Но пока не ставлю сквид..

[igr0ck]

Скажите, а получилось настроить Континент АП в итоге то? У меня даже не получается его подключить к серверу УФК (((

[MonoLife]

Саму настройку подключения Континента я не делал, до меня все было настроено..Континент работает как работал. Сквид проблемы не решил.На этой машине пользователь так и ходит - по переменке то в браузере, то в Континенте работает.

[igr0ck]

А какие настройки iptables?

[MonoLife]

А какие настройки iptables?

см. в 1-ом посте

[oskar08]

у меня тоже проблема с подключением Континента АП, бухгалтерия переехала на другой адрес там подсеть и выход в инет только через прокси Squid. Континент соответственно не работает, кто нибудь может подсказать как прописать эти порты чтобы он работал??? IP на который стучится континент пингуется только на самом шлюзе(Squid) между этим шлюзом и подсетью где теперь стоит континент еще одни шлюз - застава 

[fisher74]

Код: [Выделить]

sudo iptables -t nat -I PREROUTING -s ip_клиента -t ip_сервера -j ACCEPT
sudo iptables -t nat -A FORWARD -s ip_клиента -t ip_сервера -j ACCEPT
sudo iptables -t nat -A POSTROUTING  -s ip_клиента -t ip_сервера -j MASQUERADE

Но нужно ещё разрешить ядру форвард пакетов, что, в свою очередь, требует позаботиться о безопасности
Примерно так

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPTъ
sudo sysctl -w net.ipv4.ip_forward=1

[AnrDaemon]

-j ACCEPTъ

[fisher74]

нуачо ))) а так-то в первом правиле лучше RETURN

[AnrDaemon]

Лучше conntrack всё таки.

[oskar08]

я так понял это прописать в nat смотрите у меня там сейчас

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

 # Включаем форвардинг пакетов
 echo 1 > /proc/sys/net/ipv4/ip_forward

 # Разрешаем трафик на loopback-интерфейсе
 iptables -A INPUT -i lo -j ACCEPT

 # Разрешаем доступ из внутренней сети наружу
 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

 # Включаем NAT
 iptables -t nat -A POSTROUTING -o eth0 -s 10.8.120.0/24 -j MASQUERADE
 iptables -t nat -A POSTROUTING -o eth0 -s 10.8.112.0/24 -j MASQUERADE
 # Разрешаем ответы из внешней сети
 iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

 # Запрещаем доступ снаружи во внутреннюю сеть
 iptables -A FORWARD -i eth0 -o eth1 -j REJECT

 # Заворачиваем http на прокси

если я правильно понял должно быть так

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

 # Включаем форвардинг пакетов
 echo 1 > /proc/sys/net/ipv4/ip_forward

 # Разрешаем трафик на loopback-интерфейсе
 iptables -A INPUT -i lo -j ACCEPT

 # Разрешаем доступ из внутренней сети наружу
 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

 # Включаем NAT
 iptables -t nat -I PREROUTING -s 10.8.112.132 -t 37.29.7.179 -j ACCEPT
 iptables -t nat -A FORWARD -s 10.8.112.132 -t 37.29.7.179 -j ACCEPT
 iptables -t nat -A POSTROUTING  -s 10.8.112.132 -t 37.29.7.179 -j MASQUERADE
 iptables -t nat -A POSTROUTING -o eth0 -s 10.8.120.0/24 -j MASQUERADE
 iptables -t nat -A POSTROUTING -o eth0 -s 10.8.112.0/24 -j MASQUERADE
 # Разрешаем ответы из внешней сети
 iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

 # Запрещаем доступ снаружи во внутреннюю сеть
 iptables -A FORWARD -i eth0 -o eth1 -j REJECT

 # Заворачиваем http на прокси