Подключение к фондовой бирже ПФТС через VPN

[dmytric]

Есть локальная сеть из 20 компов. В Инет все ходят через сервер с Ubuntu 9.04.
Раздачу Инета настраивал с помощью связки shorewall+squid+sams. Без особых вопросов поднял DHCP-сервер и прозрачный прокси.
Теперь у руководства возникла новая идея - организовать подключение к ПФТС через сервер.

На сервере постоянно активно vpn-подключение к ПФТС. Схема такая: весь траффик, который пытается идти на внутренние IP-адреса биржи, отправляются через это активное соединение (ppp0), остальной трафик уходит в Инет по eth0.

Вот, что есть на данном этапе:
После установления соединения ppp0, происходит вызов кода:

Код: [Выделить]

route add -net 172.16.10.0 gw 172.16.0.1 netmask 255.255.255.0Благодаря чему с сервера пакеты правильно уходят на внутренние адреса ПФТС через ррр0, все остальные правильно уходят в инет.
traceroute показывает правильный путь:

Код: [Выделить]

$ traceroute 172.16.10.101
traceroute to 172.16.10.101 (172.16.10.101), 30 hops max, 60 byte packets
 1  172.16.0.1 (172.16.0.1)  14.593 ms  14.716 ms  16.945 ms
 2  172.16.10.101 (172.16.10.101)  23.822 ms  24.776 ms  25.210 ms
Проблема в том, что все это правильно работает только на сервере, из локальной сети подсеть 172.16.10.0 не доступна и пакеты не перенаправляются на vpn соединение:

Код: [Выделить]

$ traceroute 172.16.10.101
traceroute to 172.16.10.101 (172.16.10.101), 30 hops max, 60 byte packets
 1  gateway.local (192.168.0.1)  0.183 ms  0.148 ms  0.110 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *

Помогите найти мою ошибку.

[Switcher]

Есть подозрение, что для eth0 NAT работает, а вот для ppp0 никто его не настраивал.
iptables-save в студию

[dmytric]

Есть подозрение, что для eth0 NAT работает, а вот для ppp0 никто его не настраивал.
iptables-save в студию

вывод iptables-save

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.1.1 on Wed Jun 10 14:51:08 2009
*raw
:PREROUTING ACCEPT [67933:14458198]
:OUTPUT ACCEPT [56387:15044960]
COMMIT
# Completed on Wed Jun 10 14:51:08 2009
# Generated by iptables-save v1.4.1.1 on Wed Jun 10 14:51:08 2009
*nat
:PREROUTING ACCEPT [15255:804858]
:POSTROUTING ACCEPT [5745:367033]
:OUTPUT ACCEPT [5692:367825]
:eth0_masq - [0:0]
:loc_dnat - [0:0]
-A PREROUTING -i eth1 -j loc_dnat
-A POSTROUTING -o eth0 -j eth0_masq
-A eth0_masq -s 192.168.0.0/24 -j MASQUERADE
-A eth0_masq -s 169.254.0.0/16 -j MASQUERADE
-A loc_dnat -d ! 192.168.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Jun 10 14:51:08 2009
# Generated by iptables-save v1.4.1.1 on Wed Jun 10 14:51:08 2009
*mangle
:PREROUTING ACCEPT [67939:14458510]
:INPUT ACCEPT [57180:13487491]
:FORWARD ACCEPT [8183:711582]
:OUTPUT ACCEPT [182205:79216000]
:POSTROUTING ACCEPT [64682:15767712]
:tcfor - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Wed Jun 10 14:51:08 2009
# Generated by iptables-save v1.4.1.1 on Wed Jun 10 14:51:08 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:Reject - [0:0]
:all2all - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth0_out - [0:0]
:eth1_fwd - [0:0]
:eth1_in - [0:0]
:eth1_out - [0:0]
:fw2all - [0:0]
:fw2loc - [0:0]
:fw2net - [0:0]
:fw2pfts - [0:0]
:loc2all - [0:0]
:loc2fw - [0:0]
:loc2net - [0:0]
:loc2pfts - [0:0]
:logdrop - [0:0]
:logflags - [0:0]
:logreject - [0:0]
:net2all - [0:0]
:net2fw - [0:0]
:net2loc - [0:0]
:net2net - [0:0]
:net2pfts - [0:0]
:pfts2fw - [0:0]
:ppp0_fwd - [0:0]
:ppp0_in - [0:0]
:ppp0_out - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
:tcpflags - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j eth0_in
-A INPUT -i ppp0 -j ppp0_in
-A INPUT -i eth1 -j eth1_in
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j Reject
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -j reject
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -i ppp0 -j ppp0_fwd
-A FORWARD -i eth1 -j eth1_fwd
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -j reject
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j eth0_out
-A OUTPUT -o ppp0 -j ppp0_out
-A OUTPUT -o eth1 -j eth1_out
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -j reject
-A Drop -p tcp -m tcp --dport 113 -j reject
-A Drop -j dropBcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Drop -j dropInvalid
-A Drop -p udp -m multiport --dports 135,445 -j DROP
-A Drop -p udp -m udp --dport 137:139 -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A Drop -p udp -m udp --dport 1900 -j DROP
-A Drop -p tcp -j dropNotSyn
-A Drop -p udp -m udp --sport 53 -j DROP
-A Reject -p tcp -m tcp --dport 113 -j reject
-A Reject -j dropBcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Reject -j dropInvalid
-A Reject -p udp -m multiport --dports 135,445 -j reject
-A Reject -p udp -m udp --dport 137:139 -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -j reject
-A Reject -p udp -m udp --dport 1900 -j DROP
-A Reject -p tcp -j dropNotSyn
-A Reject -p udp -m udp --sport 53 -j DROP
-A all2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2all -j Reject
-A all2all -j LOG --log-prefix "Shorewall:all2all:REJECT:" --log-level 6
-A all2all -j reject
-A dropBcast -m pkttype --pkt-type broadcast -j DROP
-A dropBcast -m pkttype --pkt-type multicast -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_fwd -m state --state INVALID,NEW -j smurfs
-A eth0_fwd -p tcp -j tcpflags
-A eth0_fwd -d 172.16.0.0/32 -o ppp0 -j net2pfts
-A eth0_fwd -o ppp0 -j net2net
-A eth0_fwd -o eth1 -j net2loc
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -m state --state INVALID,NEW -j smurfs
-A eth0_in -p udp -m udp --dport 67:68 -j ACCEPT
-A eth0_in -p tcp -j tcpflags
-A eth0_in -j net2fw
-A eth0_out -p udp -m udp --dport 67:68 -j ACCEPT
-A eth0_out -j fw2net
-A eth1_fwd -m state --state INVALID,NEW -j dynamic
-A eth1_fwd -m state --state INVALID,NEW -j smurfs
-A eth1_fwd -p tcp -j tcpflags
-A eth1_fwd -d 172.16.0.0/32 -o ppp0 -j loc2pfts
-A eth1_fwd -o eth0 -j loc2net
-A eth1_fwd -o ppp0 -j loc2net
-A eth1_in -m state --state INVALID,NEW -j dynamic
-A eth1_in -m state --state INVALID,NEW -j smurfs
-A eth1_in -p tcp -j tcpflags
-A eth1_in -j loc2fw
-A eth1_out -j fw2loc
-A fw2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2all -j Reject
-A fw2all -j LOG --log-prefix "Shorewall:fw2all:REJECT:" --log-level 6
-A fw2all -j reject
-A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -p icmp -j ACCEPT
-A fw2loc -j ACCEPT
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -p udp -m udp --dport 53 -j ACCEPT
-A fw2net -p tcp -m tcp --dport 53 -j ACCEPT
-A fw2net -p icmp -j ACCEPT
-A fw2net -j ACCEPT
-A fw2pfts -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2pfts -p gre -j ACCEPT
-A fw2pfts -p tcp -m tcp --dport 1723 -j ACCEPT
-A fw2pfts -j ACCEPT
-A loc2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2all -j Reject
-A loc2all -j LOG --log-prefix "Shorewall:loc2all:REJECT:" --log-level 6
-A loc2all -j reject
-A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 22 -j ACCEPT
-A loc2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 3128 -j ACCEPT
-A loc2fw -j LOG --log-prefix "Shorewall:loc2fw:ACCEPT:" --log-level 6
-A loc2fw -j ACCEPT
-A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2net -p udp -m udp --dport 53 -j ACCEPT
-A loc2net -p tcp -m tcp --dport 53 -j ACCEPT
-A loc2net -j LOG --log-prefix "Shorewall:loc2net:ACCEPT:" --log-level 6
-A loc2net -j ACCEPT
-A loc2pfts -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2pfts -j ACCEPT
-A loc2pfts -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A loc2pfts -j ACCEPT
-A logdrop -j LOG --log-prefix "Shorewall:logdrop:DROP:" --log-level 6
-A logdrop -j DROP
-A logflags -j LOG --log-prefix "Shorewall:logflags:DROP:" --log-level 6
-A logflags -j DROP
-A logreject -j LOG --log-prefix "Shorewall:logreject:REJECT:" --log-level 6
-A logreject -j reject
-A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2all -j Drop
-A net2all -j LOG --log-prefix "Shorewall:net2all:DROP:" --log-level 6
-A net2all -j DROP
-A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A net2fw -j LOG --log-prefix "Shorewall:net2fw:ACCEPT:" --log-level 6
-A net2fw -j ACCEPT
-A net2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2loc -j Drop
-A net2loc -j LOG --log-prefix "Shorewall:net2loc:DROP:" --log-level 6
-A net2loc -j DROP
-A net2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2net -j Drop
-A net2net -j DROP
-A net2pfts -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2pfts -j Drop
-A net2pfts -j DROP
-A pfts2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A pfts2fw -p gre -j ACCEPT
-A ppp0_fwd -m state --state INVALID,NEW -j dynamic
-A ppp0_fwd -m state --state INVALID,NEW -j smurfs
-A ppp0_fwd -p tcp -j tcpflags
-A ppp0_fwd -d 172.16.0.0/32 -o ppp0 -j net2pfts
-A ppp0_fwd -o eth0 -j net2net
-A ppp0_fwd -o eth1 -j net2loc
-A ppp0_in -m state --state INVALID,NEW -j dynamic
-A ppp0_in -m state --state INVALID,NEW -j smurfs
-A ppp0_in -p udp -m udp --dport 67:68 -j ACCEPT
-A ppp0_in -p tcp -j tcpflags
-A ppp0_in -s 172.16.0.0/32 -j pfts2fw
-A ppp0_in -j net2fw
-A ppp0_out -p udp -m udp --dport 67:68 -j ACCEPT
-A ppp0_out -d 172.16.0.0/32 -j fw2pfts
-A ppp0_out -j fw2net
-A reject -m pkttype --pkt-type broadcast -j DROP
-A reject -m pkttype --pkt-type multicast -j DROP
-A reject -s 255.255.255.255/32 -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurfs -s 192.168.1.255/32 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 192.168.1.255/32 -j DROP
-A smurfs -s 192.168.0.255/32 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 192.168.0.255/32 -j DROP
-A smurfs -s 255.255.255.255/32 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 255.255.255.255/32 -j DROP
-A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/4 -j DROP
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j logflags
-A tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j logflags
-A tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -j logflags
COMMIT
# Completed on Wed Jun 10 14:51:08 2009

[Switcher]

И где маскарад для ppp0? Включишь - заработает.