Доступ к локальной сети предприятия через VPN

[CityAceE]

В офисе стоит сервер, на котором крутится Windows 2003 + ISA 2004. Пришла пора ему на покой отправляться, а на смену ставить сервер с Ubuntu. В общем-то такой сервер уже успешно работает, раздаёт и считает траффик с помощью TraffPro. И давно бы уже вырубил эту ISA, если бы смог побороть одну вещь - сделать доступ в локальную сеть через VPN. По началу подумал, что главная проблема будет с авторизацией пользователей через Active Directory. Но, как оказалось, такую авторизацию я довольно быстро сделал, а проблема возникла там, где я её совсем не ожидал. А именно, после соединения с VPN ничего не работает и не пингуется за исключением самого VPN-сервера, к которому подключаюсь через Интернет. То есть дело за малым - разрешить хождение пакетов между VPN и локальной сетью. Но после чтения разнообразных мануалов и форумов, несчётного количества экспериментов, я вынужден сдаться и обратиться за помощью.

Вот несколько мануалов, которые я пытался применить на практике:
http://www.ylsoftware.com/news/407
http://www.iloveunix.ru/linux/10-ubuntu-server-pptp-forvarding.html
http://interface31.ru/tech_it/2010/09/nastraivaem-vpn-server-chast-3-pptp-platforma-linux.html
http://www.ubuntugeek.com/howto-pptp-vpn-server-with-ubuntu-10-04-lucid-lynx.html

В большинстве мануалов написано, что достаточно прописать:

Код: [Выделить]

# Разрешаем протокол GRE для всех;
iptables -A INPUT -p gre -j ACCEPT

# Разрешаем соединение с PPTP-сервером для всех;
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
Но мне, к сожалению, это мало чем помогает. Ну разве что начинает резолвиться имя, компьютера, когда я делаю tracert:

Код: [Выделить]

C:\Users\Homeuser>tracert 192.168.0.1

Трассировка маршрута к server.domain.local [192.168.0.1]
с максимальным числом прыжков 30:

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.

Сама локальная сеть имеет адресацию 192.168.0.XX.
VPN сервер имеет адрес 192.168.0.4
eth0 - смотрит в Интернет, а eth1 - в локальную сеть.

В pptpd.conf задано:
localip 192.168.0.150
remoteip 192.168.0.151-199

И при таких условиях ничего, кроме 192.168.0.4 не пингуется.

На клиенстком Windows-компьютере VPN-сединение с Linux-сервером выглядит идентично соединению с Microsoft ISA:

Код: [Выделить]

Адаптер PPP Linux:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Linux
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.151(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 192.168.0.1
                                       192.168.0.4
   NetBios через TCP/IP. . . . . . . . : Включен

Запускал iptraf, ставил всякие фильтры. Но, ничего интересного там не увидел, пакеты просто не проходят и всё.

Не исключаю ситуацию, что это TraffPro что-то блокирует и не пускает пакеты. Но, к сожалению, я просто боюсь iptables! Делал несколько подходов к изучению, но тщетно. Посему обращаюсь, за помощью к тем, кто на "ты" с iptables. Подскажите пожалуйста, в какую сторону копать. Предоставлю конфиги и другую, нужную для решения этого вопроса, информацию.

[koshev]

Подскажите пожалуйста, в какую сторону копать.

В сторону proxy_arp. Конфиги надо было все сразу выкладывать. /etc/ppp/pptpd-options, например где?

[CityAceE]

В сторону proxy_arp. Конфиги надо было все сразу выкладывать. /etc/ppp/pptpd-options, например где?

Вот он:

Код: [Выделить]

name pptpd
domain DOMAIN.local
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.0.1
ms-dns 192.168.0.4
proxyarp
nodefaultroute
lock
nobsdcomp
auth
plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1  --domain=DOMAIN --r   equire-membership-of=S-1-5-21-2266973865-525192924-2774990768-1609"


[koshev]

На физическом интерфейсе локальной сети сервера proxy_arp задействован? Сеть для локалки и для VPN одна, только разнесены хосты, я правильно понимаю?
iptables-save еще неплохо было бы видеть.

[CityAceE]

На физическом интерфейсе сервера proxy_arp задействован?

Я ничего специально не включал. Сейчас сижу ищу информацию как проверить включен Proxy ARP или нет и как его включить, если он выключен.

Сеть для локалки и для VPN одна, только разнесены хосты, я правильно понимаю?

Да, всё верно. И локалка, и VPN расположены в одной подсети 192.168.0.0/24 (255.255.255.0), назначаемые адреса никак не пересекаются.
Пользователь решил продолжить мысль 11 Марта 2012, 15:35:43:Сделал вот так:

Код: [Выделить]

echo 'net.ipv4.conf.eth0.proxy_arp = 1' >>/etc/sysctl.conf; sysctl -p
echo 'net.ipv4.conf.eth1.proxy_arp = 1' >>/etc/sysctl.conf; sysctl -p
Может быть можно запустить какой-нибудь тест, чтобы понять в чём проблема?

[koshev]

Код: (bash) [Выделить]

sysctl -a |grep proxy_arp
echo 'net.ipv4.conf.eth0.proxy_arp = 1' >>/etc/sysctl.conf; sysctl -peth0 замени на свой, смотрящий в локалку предприятия.

[CityAceE]

Код: [Выделить]

root@proxy-server:/etc# sysctl -a |grep proxy_arp
error: "Success" reading key "dev.parport.parport0.autoprobe"
error: "Success" reading key "dev.parport.parport0.autoprobe0"
error: "Success" reading key "dev.parport.parport0.autoprobe1"
error: "Success" reading key "dev.parport.parport0.autoprobe2"
error: "Success" reading key "dev.parport.parport0.autoprobe3"
error: permission denied on key 'net.ipv4.route.flush'
net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.lo.proxy_arp = 0
net.ipv4.conf.eth2.proxy_arp = 0
net.ipv4.conf.eth1.proxy_arp = 1
net.ipv4.conf.eth0.proxy_arp = 0
error: permission denied on key 'net.ipv6.route.flush'
eth1 смотрит в локалку, а eth0 и eth2 в сторону двух провайдеров. Я подключаюсь через провайдера, который заходит на eth0. К сожалению, включение proxy_arp выборочно или на все интерфейсы результата не даёт.
Пользователь решил продолжить мысль 11 Марта 2012, 16:02:47:И вот ещё для информации:

Код: [Выделить]

root@proxy-server:/etc# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
NFQUEUE    all  --  anywhere             anywhere            NFQUEUE num 0
NFQUEUE    all  --  anywhere             anywhere            NFQUEUE num 0
ACCEPT     all  --  anywhere             anywhere
ACCEPT     gre  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723
ACCEPT     gre  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            mark match 0xfffd
DROP       tcp  --  anywhere             anywhere            mark match 0xfffe
DROP       tcp  --  anywhere             anywhere            mark match 0xffff
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssh
NFQUEUE    all  --  anywhere             anywhere            NFQUEUE num 0
NFQUEUE    all  --  anywhere             anywhere            NFQUEUE num 0
ACCEPT     all  --  anywhere             anywhere


[koshev]

Код: (text) [Выделить]

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            mark match 0xfffd
DROP       tcp  --  anywhere             anywhere            mark match 0xfffe
DROP       tcp  --  anywhere             anywhere            mark match 0xffff
ACCEPT     all  --  anywhere             anywhereА вот это вот чего такое и зачем? iptables-save просил же.

[CityAceE]

А вот это вот чего такое и зачем?

Это от TraffPro для редиректа на специальные страницы при отсутствии авторизации, превышении лимита на трафик или если страница заблокирована.

iptables-save просил же.

Вот:

Код: (bash) [Выделить]

# Generated by webmin
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
COMMIT
# Completed
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -i eth0 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 216.201.190.235/32 -j ACCEPT
-A PREROUTING -s 216.201.190.235/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.20/32 -j ACCEPT
-A PREROUTING -s 209.249.140.20/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.135/32 -j ACCEPT
-A PREROUTING -s 209.249.140.135/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.48/32 -j ACCEPT
-A PREROUTING -s 209.249.140.48/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.141/32 -j ACCEPT
-A PREROUTING -s 209.249.140.141/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 2.21.210.170/32 -j ACCEPT
-A PREROUTING -s 2.21.210.170/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.167.231.15/32 -j ACCEPT
-A PREROUTING -s 209.167.231.15/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 204.62.114.16/32 -j ACCEPT
-A PREROUTING -s 204.62.114.16/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 2041:2044 -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 5222 -j ACCEPT
-A PREROUTING -p udp -m udp --dport 27000:27030 -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 27014:27050 -j ACCEPT
-A PREROUTING -p udp -m udp --dport 4380 -j ACCEPT
-A PREROUTING -p udp -m udp --dport 3478 -j ACCEPT
-A PREROUTING -p udp -m udp --dport 4379 -j ACCEPT
-A PREROUTING -d 192.168.0.4/32 -j ACCEPT
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -j NFQUEUE  --queue-num 0
-A POSTROUTING -o lo -j ACCEPT
-A POSTROUTING -o eth0 -j ACCEPT
-A POSTROUTING -s 216.201.190.235/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 216.201.190.235/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.20/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.20/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.135/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.135/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.48/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.48/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.141/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.141/32 -j ACCEPT
-A POSTROUTING -s 2.21.210.170/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 2.21.210.170/32 -j ACCEPT
-A POSTROUTING -s 209.167.231.15/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.167.231.15/32 -j ACCEPT
-A POSTROUTING -s 204.62.114.16/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 204.62.114.16/32 -j ACCEPT
-A POSTROUTING -p tcp -m tcp --sport 443 -j ACCEPT
-A POSTROUTING -p tcp -m tcp --sport 2041:2044 -j ACCEPT
-A POSTROUTING -p tcp -m tcp --sport 5222 -j ACCEPT
-A POSTROUTING -p udp -m udp --sport 27000:27030 -j ACCEPT
-A POSTROUTING -p tcp -m tcp --sport 27014:27050 -j ACCEPT
-A POSTROUTING -p udp -m udp --sport 4380 -j ACCEPT
-A POSTROUTING -p udp -m udp --sport 3478 -j ACCEPT
-A POSTROUTING -p udp -m udp --sport 4379 -j ACCEPT
-A POSTROUTING -s 192.168.0.4/32 -j ACCEPT
-A POSTROUTING -o lo -j ACCEPT
-A POSTROUTING -j NFQUEUE  --queue-num 0
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m mark -j REDIRECT --to-ports 83  --mark 0xfffd
-A PREROUTING -p tcp -m mark -j REDIRECT --to-ports 82  --mark 0xfffe
-A PREROUTING -p tcp -m mark -j REDIRECT --to-ports 81  --mark 0xffff
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.62
COMMIT
# Completed


[CityAceE]

Проблема так и не решена. Всё ещё надеюсь на помощь!

[ivsatel]

Можете быть уверены, что iptables у Вас ни чего не блокирует (похоже он "мертв"). При данных политиках по умолчанию ВСЕ разрешено, а потом разрешено кое-что повторно  Так-что на iptables больше грешить не надо.

[FaktorXaosa]

скинь route -v с сервера перед и после подключения по vpn. ну и маршруты на vpn клиенте.

[CityAceE]

Маршруты на сервере ДО подключения VPN:

Код: [Выделить]

administrator@proxy-server:~$ sudo route -v
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
82.XXX.YYY.0     *               255.255.255.0   U     0      0        0 eth2
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth0
default         10.0.0.1        0.0.0.0         UG    100    0        0 eth0

Маршруты на клиенте ДО подключения VPN:

Код: [Выделить]

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.0.1       10.0.0.100     10
         10.0.0.0    255.255.255.0         On-link        10.0.0.100    266
       10.0.0.100  255.255.255.255         On-link        10.0.0.100    266
       10.0.0.255  255.255.255.255         On-link        10.0.0.100    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.0.0.100    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.0.0.100    266
===========================================================================
Постоянные маршруты:
  Отсутствует

Маршруты на сервере ПОСЛЕ подключения VPN:

Код: [Выделить]

administrator@proxy-server:~$ sudo route -v
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.151   *               255.255.255.255 UH    0      0        0 ppp0
82.XXX.YYY.0     *               255.255.255.0   U     0      0        0 eth2
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth0
default         10.0.0.1        0.0.0.0         UG    100    0        0 eth0

Маршруты на клиенте ПОСЛЕ подключения VPN:

Код: [Выделить]

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.0.1       10.0.0.100     10
         10.0.0.0    255.255.255.0         On-link        10.0.0.100    266
       10.0.0.100  255.255.255.255         On-link        10.0.0.100    266
       10.0.0.255  255.255.255.255         On-link        10.0.0.100    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    172.XXX.YYY.14  255.255.255.255         10.0.0.1       10.0.0.100     11
      192.168.0.0    255.255.255.0    192.168.0.150    192.168.0.151     11
    192.168.0.151  255.255.255.255         On-link     192.168.0.151    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.0.0.100    266
        224.0.0.0        240.0.0.0         On-link     192.168.0.151    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.0.0.100    266
  255.255.255.255  255.255.255.255         On-link     192.168.0.151    266
===========================================================================
Постоянные маршруты:
  Отсутствует


[FaktorXaosa]

Если честно, не вижу явных косяков... за исключением 2 дефолтных маршрутов...
нашел статьи по которым сам настраивал в свое время.
http://www.ylsoftware.com/news/538
https://forum.ubuntu.ru/index.php?topic=151176.0

если не поможет - могу выложить свои конфиги.

[CityAceE]

FaktorXaosa, спасибо за попытку помочь!

В предыдущем посте я неверный iptable-save выложил. Ниже правильный. Может быть всё таки в нём дело?

Код: (bash) [Выделить]

administrator@proxy-server:~$ sudo iptables-save
[sudo] password for administrator:
# Generated by iptables-save v1.4.4 on Wed Mar 14 20:30:58 2012
*filter
:INPUT ACCEPT [24:4109]
:FORWARD DROP [3:158]
:OUTPUT ACCEPT [27:1850]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -j NFQUEUE --queue-num 0
-A INPUT -i eth2 -j NFQUEUE --queue-num 0
-A INPUT -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -p tcp -m mark --mark 0xfffd -j DROP
-A FORWARD -p tcp -m mark --mark 0xfffe -j DROP
-A FORWARD -p tcp -m mark --mark 0xffff -j DROP
-A FORWARD -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -j NFQUEUE --queue-num 0
-A OUTPUT -o eth2 -j NFQUEUE --queue-num 0
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Wed Mar 14 20:30:58 2012
# Generated by iptables-save v1.4.4 on Wed Mar 14 20:30:58 2012
*mangle
:PREROUTING ACCEPT [27:4267]
:INPUT ACCEPT [9743580:3458640784]
:FORWARD ACCEPT [49759056:40655831109]
:OUTPUT ACCEPT [10045627:10592558764]
:POSTROUTING ACCEPT [27:1850]
-A PREROUTING -s 192.168.0.0/24 -d 216.201.190.235/32 -j ACCEPT
-A PREROUTING -s 216.201.190.235/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.20/32 -j ACCEPT
-A PREROUTING -s 209.249.140.20/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.135/32 -j ACCEPT
-A PREROUTING -s 209.249.140.135/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.48/32 -j ACCEPT
-A PREROUTING -s 209.249.140.48/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.249.140.141/32 -j ACCEPT
-A PREROUTING -s 209.249.140.141/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 2.21.210.170/32 -j ACCEPT
-A PREROUTING -s 2.21.210.170/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 209.167.231.15/32 -j ACCEPT
-A PREROUTING -s 209.167.231.15/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 204.62.114.16/32 -j ACCEPT
-A PREROUTING -s 204.62.114.16/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 207.46.232.182/32 -j ACCEPT
-A PREROUTING -s 207.46.232.182/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 207.46.197.32/32 -j ACCEPT
-A PREROUTING -s 207.46.197.32/32 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 64.0.0.0/8 -j ACCEPT
-A PREROUTING -s 64.0.0.0/8 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -d 65.0.0.0/8 -j ACCEPT
-A PREROUTING -s 65.0.0.0/8 -d 192.168.0.0/24 -j ACCEPT
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -i eth0 -j ACCEPT
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -i eth2 -j ACCEPT
-A PREROUTING -d 192.168.0.4/32 -j ACCEPT
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -j NFQUEUE --queue-num 0
-A POSTROUTING -s 216.201.190.235/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 216.201.190.235/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.20/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.20/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.135/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.135/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.48/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.48/32 -j ACCEPT
-A POSTROUTING -s 209.249.140.141/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.249.140.141/32 -j ACCEPT
-A POSTROUTING -s 2.21.210.170/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 2.21.210.170/32 -j ACCEPT
-A POSTROUTING -s 209.167.231.15/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 209.167.231.15/32 -j ACCEPT
-A POSTROUTING -s 204.62.114.16/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 204.62.114.16/32 -j ACCEPT
-A POSTROUTING -s 207.46.232.182/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 207.46.232.182/32 -j ACCEPT
-A POSTROUTING -s 207.46.197.32/32 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 207.46.197.32/32 -j ACCEPT
-A POSTROUTING -s 64.0.0.0/8 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 64.0.0.0/8 -j ACCEPT
-A POSTROUTING -s 65.0.0.0/8 -d 192.168.0.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 65.0.0.0/8 -j ACCEPT
-A POSTROUTING -o lo -j ACCEPT
-A POSTROUTING -o eth0 -j ACCEPT
-A POSTROUTING -o lo -j ACCEPT
-A POSTROUTING -o eth2 -j ACCEPT
-A POSTROUTING -s 192.168.0.4/32 -j ACCEPT
-A POSTROUTING -o lo -j ACCEPT
-A POSTROUTING -j NFQUEUE --queue-num 0
COMMIT
# Completed on Wed Mar 14 20:30:58 2012
# Generated by iptables-save v1.4.4 on Wed Mar 14 20:30:58 2012
*nat
:PREROUTING ACCEPT [1142313:84961470]
:POSTROUTING ACCEPT [3670:271081]
:OUTPUT ACCEPT [261648:20837640]
-A PREROUTING -p tcp -m mark --mark 0xfffd -j REDIRECT --to-ports 83
-A PREROUTING -p tcp -m mark --mark 0xfffe -j REDIRECT --to-ports 82
-A PREROUTING -p tcp -m mark --mark 0xffff -j REDIRECT --to-ports 81
-A PREROUTING -d 10.0.0.3/32 -i eth0 -p tcp -m tcp --dport 36900 -j DNAT --to-destination 192.168.0.5:3690
-A PREROUTING -d 10.0.0.3/32 -i eth0 -p tcp -m tcp --dport 200 -j DNAT --to-destination 192.168.0.1:20
-A PREROUTING -d 10.0.0.3/32 -i eth0 -p tcp -m tcp --dport 201 -j DNAT --to-destination 192.168.0.1:21
-A PREROUTING -d 10.0.0.3/32 -i eth0 -p tcp -m tcp --dport 8008 -j DNAT --to-destination 192.168.0.5:80
-A PREROUTING -d 10.0.0.3/32 -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -d 10.0.0.3/32 -i eth0 -p tcp -m tcp --dport 46469 -j DNAT --to-destination 192.168.0.19:46469
-A PREROUTING -d 10.0.0.3/32 -i eth0 -p udp -m udp --dport 46469 -j DNAT --to-destination 192.168.0.19:46469
-A PREROUTING -d 82.XXX.YYY.227/32 -i eth2 -p tcp -m tcp --dport 36900 -j DNAT --to-destination 192.168.0.5:3690
-A PREROUTING -d 82.XXX.YYY.227/32 -i eth2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A POSTROUTING -o eth0 -j SNAT --to-source 10.0.0.3
-A POSTROUTING -o eth2 -j SNAT --to-source 82.XXX.YYY.227
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Mar 14 20:30:58 2012