раздача инета только на 1 компьютер в сети

[thomas1234]

Ну продолжаются мои мучения 
нат раздаётся как надо, но возникла теперь загвоздка в прокидывании портов.

напомню:
192.168.1.1 - мой роутер на Ubuntuшке
192.168.1.8 - тут впн сервак висит
193.33.144.197 - инет

(Нажмите, чтобы показать/скрыть)

#! /bin/sh

iptables -A INPUT -i lo -j ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE

#Мой комп
iptables -t filter -A FORWARD -i eth1 -o ppp0 -m mac --mac-source E0:CB:4E:C0:BD:9D -j ACCEPT
#тут ВПН на 1.8
iptables -t nat -A PREROUTING --dst 193.33.144.197 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.8
iptables -t nat -A POSTROUTING --dst 192.168.1.8 -p tcp --dport 1723 -j SNAT --to-source 192.168.1.1
iptables -t nat -A OUTPUT --dst 193.33.144.197 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.8
iptables -I FORWARD 1 -i ppp0 -o eth1 -d 192.168.1.8 -p tcp -m tcp --dport 1723 -j ACCEPT
iptables -I FORWARD 1 -i eth1 -o ppp0 -p tcp -m tcp --dport 1723 -j ACCEPT

Вроде как соединение начинает устанавливаться, идёт проверка пароля и на этом все заканчивается, Windows которая пытается подключиться ругается на закрытый порт. Подскажите что я ещё забыл написать или что тут неправильно написано По статье выше тоже не получается

Если нат раздовать на все компы то прокидывание работает способом описанным выше
/etc/modules

(Нажмите, чтобы показать/скрыть)

loop
lp
nf_nat_pptp
ip_nat_pptp

[AnrDaemon]

iptables-save показывайте.
И нормально объясняйте, чего вы хотите.
"тут впн сервак висит" ни о чём не говорит. Ну висит и висит, нам то что?

[censor]

разреши с маком сервера выходить в интернет

[thomas1234]

Всем привет, снова я 
Инет работает норм, прокидывания норм, Но есть небольшая загвоздочка. Нет доступа у разрешенных машин на некоторые сайты (aliexpress.com например) и сайты грузятка какбы с задержкой. Если через проксю то все норм, все работает.
iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Sep 20 23:26:58 2012
*nat
:PREROUTING ACCEPT [640:37521]
:POSTROUTING ACCEPT [33:3116]
:OUTPUT ACCEPT [33:3116]
[2:96] -A PREROUTING -d 193.33.144.197/32 -p tcp -m tcp --dport 60124 -j DNAT --to-destination 192.168.1.6:3389
[0:0] -A PREROUTING -d 193.33.144.197/32 -p tcp -m tcp --dport 60123 -j DNAT --to-destination 192.168.1.10:3389
[2:96] -A PREROUTING -d 193.33.144.197/32 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.8
[2:96] -A POSTROUTING -d 192.168.1.6/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.1.1
[0:0] -A POSTROUTING -d 192.168.1.10/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.1.1
[8:404] -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
[2:96] -A POSTROUTING -d 192.168.1.8/32 -p tcp -m tcp --dport 1723 -j SNAT --to-source 192.168.1.1
[0:0] -A OUTPUT -d 193.33.144.197/32 -p tcp -m tcp --dport 60124 -j DNAT --to-destination 192.168.1.6:3389
[0:0] -A OUTPUT -d 193.33.144.197/32 -p tcp -m tcp --dport 60123 -j DNAT --to-destination 192.168.1.10:3389
[0:0] -A OUTPUT -d 193.33.144.197/32 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.8
COMMIT
# Completed on Thu Sep 20 23:26:58 2012
# Generated by iptables-save v1.4.4 on Thu Sep 20 23:26:58 2012
*filter
:INPUT ACCEPT [2010:173588]
:FORWARD DROP [537:26319]
:OUTPUT ACCEPT [1674:266133]
:fail2ban-apache - [0:0]
:fail2ban-courierauth - [0:0]
:fail2ban-dovecot - [0:0]
:fail2ban-postfix - [0:0]
:fail2ban-roundcube - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
[0:0] -A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache
[968:86248] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
[0:0] -A INPUT -p tcp -m multiport --dports 25,465 -j fail2ban-postfix
[71:3318] -A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,2000 -j fail2ban-dovecot
[71:3318] -A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,2000 -j fail2ban-postfix
[71:3318] -A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,2000 -j fail2ban-roundcube
[968:86248] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh-ddos
[968:86248] -A INPUT -p tcp -m tcp --dport 22 -j fail2ban-ssh
[71:3318] -A INPUT -p tcp -m multiport --dports 25,465,143,220,993,110,995 -j fail2ban-courierauth
[48:7512] -A INPUT -i lo -j ACCEPT
[87:28387] -A FORWARD -d 192.168.1.6/32 -i ppp0 -o eth1 -p tcp -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.10/32 -i ppp0 -o eth1 -p tcp -j ACCEPT
[21:1704] -A FORWARD -d 192.168.1.8/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 1723 -j ACCEPT
[5479:605089] -A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[48:4879] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source E0:CB:4E:C0:BD:9D -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 04:46:65:BA:69:00 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 64:A7:69:FE:70:3A -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 6C:62:6D:0E:B6:57 -j ACCEPT
[84:6716] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 6C:62:6D:0E:B6:53 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:1C:C0:54:78:0E -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:19:D1:84:D0:6D -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:19:D1:84:D3:65 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:08:CA:2A:CB:8C -j ACCEPT
[4414:2178338] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:15:17:EA:68:95 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:15:17:1B:22:3D -j ACCEPT
[86:13771] -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 18:A9:05:FB:9B:85 -j ACCEPT
[0:0] -A fail2ban-apache -j RETURN
[71:3318] -A fail2ban-courierauth -j RETURN
[71:3318] -A fail2ban-dovecot -j RETURN
[71:3318] -A fail2ban-postfix -j RETURN
[0:0] -A fail2ban-postfix -j RETURN
[71:3318] -A fail2ban-roundcube -j RETURN
[1936:172496] -A fail2ban-ssh -j RETURN
[968:86248] -A fail2ban-ssh-ddos -j RETURN
COMMIT
# Completed on Thu Sep 20 23:26:58 2012

что еще нужно прописать

[AnrDaemon]

-t mangle -A FORWARD -o ppp0 -m tcp -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

На счёт -o не уверен, сами додумайте.

[thomas1234]

Спасибо, работает.

[ArcFi]

Всем спасибо. Все работает как требовалось. Остался вопросик - как сделать так, шоб допустим у компьютера, которому мы запретили НАТ, работала только аська на 5190 порту

Кстати, icq, как и xmpp, без проблем можно завернуть на проксю и можно убрать лишний безнадзорный форвард.
Если что, могу описать подробности.

[thomas1234]

аську я настроил всем через проксю, а вот насчет безнадзорного форварда - это можно 

[ArcFi]

thomas1234, блэклисты, как я понял, вы используете от Rejik.
А что в качестве редиректора: DansGuardian, Rejik, SquidGuard?..

[thomas1234]

thomas1234, блэклисты, как я понял, вы используете от Rejik.
А что в качестве редиректора: DansGuardian, Rejik, SquidGuard?..

Блэклист я создаю сам по мере поступления запросов туда, куда нельзя(Безопасникам же тоже надо за что-то штрафовать людей), а редиректор втроенный в SAMS

[ArcFi]

Поднял сквид, самс и рэжик.

Тогда в каком месте у вас Rejik используется?
Там ведь блэклисты и редиректор.
Или я чего-то не догоняю?

[thomas1234]

Щас рэжик у меня не установлен

[ArcFi]

thomas1234, а по какой причине отказались, если не секрет?