Проброс портов через iptables для vpn

[crysis-ps]

Добрый вечер, есть машина с прокси squid3. Он работает прозрачно на 3128 порту. Заворот идет через iptables.
Настройки iptables:

(Нажмите, чтобы показать/скрыть)

iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.1.1 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0 -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT ! -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,447,110,25,47,1723 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

Есть необходимость разным компьютерам из локальной сети подключаться к внешнему vpn серверу (использует 321 и 1723 порты) С такими настройками только один из компьютеров может подключиться к vpn-серверу, а у других в это время при попытке соединения выходит ошибка 619 "Не удается подключиться к удаленному компьютеру, поэтому порт подключения закрыт". Если же первым подключившимся компом разорвать соединение и подождать минут 40 либо перезагрузить прокси сервер, то после этого также любой один компьютер из локальной сети может установить vpn соединение, а остальные нет.
Подскажите пожалуйста, как можно изменить настройки , чтобы сразу все могли подключаться?

[AnrDaemon]

Это не настройки iptables, это скрипт, которым вы их настраиваете.
Показывайте iptables-save.
А код VPN ошибки указывает на то, что пользователи пытаются подключиться к серверу под одним и тем же именем, либо на стороне сервера включены какие-то ещё ограничения на подключения.

[crysis-ps]

Извиняюсь, пока мало разбираюсь)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Mon Sep  3 09:17:37 2012
*filter
:INPUT DROP [6103:300164]
:FORWARD DROP [805:37537]
:OUTPUT ACCEPT [2307762:1395113172]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,80,321,447,110,25,47,1723 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 192.168.1.99/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.99/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Mon Sep  3 09:17:37 2012
# Generated by iptables-save v1.4.10 on Mon Sep  3 09:17:37 2012
*mangle
:PREROUTING ACCEPT [25271374:14274997635]
:INPUT ACCEPT [12658666:8507503539]
:FORWARD ACCEPT [12261236:5749259383]
:OUTPUT ACCEPT [13285241:8699150322]
:POSTROUTING ACCEPT [25539287:14448063501]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Sep  3 09:17:37 2012
# Generated by iptables-save v1.4.10 on Mon Sep  3 09:17:37 2012
*nat
:PREROUTING ACCEPT [773370:50594005]
:INPUT ACCEPT [675769:43268657]
:OUTPUT ACCEPT [513926:32578881]
:POSTROUTING ACCEPT [17459:888754]
-A PREROUTING ! -d 192.168.1.1/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d xx.xx.xx.104/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.99:3389
-A PREROUTING -d xx.xx.xx.104/32 -p tcp -m tcp --dport 9999 -j DNAT --to-destination 192.168.1.99:80
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Sep  3 09:17:37 2012

А с впн-сервером все нормально. С дугих мест подключается без проблем. и пользователи у всех разные. проблема появилась при таких настройках прокси, в смысле прокси недавно поставил и так настроил)

[AnrDaemon]

lsmod | grep -i conn
?
Какие интерфейсы чьи?
Пользователь решил продолжить мысль 03 Сентября 2012, 10:34:43:-A FORWARD ! -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 192.168.1.99/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.99/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

Вот этого пассажа я не понял.

[crysis-ps]

В общем, eth0 смотрит в интернет, со статическим ip.
а eth1 смотрит в локальную сеть, ip адрес 192.168.1.1

Код: [Выделить]

-A PREROUTING -d xx.xx.xx.104/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.99:3389
-A PREROUTING -d xx.xx.xx.104/32 -p tcp -m tcp --dport 9999 -j DNAT --to-destination 192.168.1.99:80
-A FORWARD -d 192.168.1.99/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.99/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPTЭто цепочки для проброса портов рдп (3389) и веб сервера(80) на внутренний сервер 192.168.1.99

В основном скрипт настройки iptables брал отсюда:https://forum.ubuntu.ru/index.php?topic=85249.15
как там обьясняется

# Разрешаем новые подключения из любого места, но кроме с внешнего интерфейса.
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0 -j ACCEPT

[AnrDaemon]

Тогда этот пассаж должен выглядеть как

-A FORWARD ! -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

Ответ на первый вопрос я увижу?

[crysis-ps]

Извиняюсь, пропустил.
lsmod | grep -i conn:

Код: [Выделить]

xt_conntrack           12664  3
nf_conntrack_ipv4      19084  6 iptable_nat,nf_nat
nf_conntrack           70103  5 xt_conntrack,ipt_MASQUERADE,iptable_nat,nf_nat,n                        f_conntrack_ipv4
nf_defrag_ipv4         12649  1 nf_conntrack_ipv4
x_tables               21975  10 xt_multiport,xt_TCPMSS,xt_conntrack,iptable_fil                        ter,ipt_MASQUERADE,ipt_REDIRECT,xt_tcpudp,iptable_mangle,iptable_nat,ip_tables


[AnrDaemon]

Добавьте nf_conntrack_pptp в загрузку и спите спокойно.

[crysis-ps]

Спасибо большое!!!=) Теперь все работает как надо=)