Раздача инета с интерфейса pppoe

[Mam(O)n]

Надо глубже копать. Нужен контрольный sudo iptables-save и собрать трафик. Для этого в одном терминале запусти команду

Код: [Выделить]

sudo tcpdump -ni eth0 -s0 -w eth0.pcap host  85.202.240.71 or udp port 53 or icmp
а в другом терминале одновременно запусти 

Код: [Выделить]

sudo tcpdump -ni ppp0 -s0 -w ppp0.pcap host  85.202.240.71 or udp port 53 or icmp
После того, как запустил, на венде в браузере зайди по адресу http://85.202.240.71 и с венды же сделай nslookup ya.ru

Затем с помощью ctrl+c останови tcpdump в обоих терминалах и выложи полученные файлы eth0.pcap и ppp0.pcap

[showme]

где эти файлы должны лежать?

[Mam(O)n]

В текущем каталоге, откуда был запуск tcpdump. Обычно, если запускаешь терминал, текущий каталог это домашняя папка пользователя. Т.е. /home/user_name

[showme]

вот

[Mam(O)n]

Ну и эта, контрольный sudo iptables-save

[showme]

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Fri Jun 25 18:39:59 2010
*mangle
:PREROUTING ACCEPT [43769:10711329]
:INPUT ACCEPT [39559:10428676]
:FORWARD ACCEPT [3091:170908]
:OUTPUT ACCEPT [38533:3175558]
:POSTROUTING ACCEPT [42113:3420047]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Jun 25 18:39:59 2010
# Generated by iptables-save v1.4.4 on Fri Jun 25 18:39:59 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 4001 -j ACCEPT
-A INPUT -p udp -m udp --dport 4002 -j ACCEPT
-A INPUT -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ACCEPT
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Jun 25 18:39:59 2010
# Generated by iptables-save v1.4.4 on Fri Jun 25 18:39:59 2010
*nat
:PREROUTING ACCEPT [2811:267808]
:POSTROUTING ACCEPT [3549:295136]
:OUTPUT ACCEPT [2428:225451]
-A POSTROUTING -s 172.16.12.209/32 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.12.209/32 -o dsl-provider -j MASQUERADE
-A POSTROUTING -s 172.16.12.243/32 -o ppp0
COMMIT
# Completed on Fri Jun 25 18:39:59 2010


[Mam(O)n]

Как я раньше просил ты так и не исправил. Исправляй правила, как я выше говорил. https://forum.ubuntu.ru/index.php?topic=100248.msg770522#msg770522

[showme]

Как я раньше просил ты так и не исправил. Исправляй правила, как я выше говорил. https://forum.ubuntu.ru/index.php?topic=100248.msg770522#msg770522

вчера исправлял.... было вот так

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Fri Jun 25 18:46:25 2010
*mangle
:PREROUTING ACCEPT [50753:17908101]
:INPUT ACCEPT [45478:17567531]
:FORWARD ACCEPT [3975:214872]
:OUTPUT ACCEPT [43791:3908813]
:POSTROUTING ACCEPT [48285:4201376]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Jun 25 18:46:25 2010
# Generated by iptables-save v1.4.4 on Fri Jun 25 18:46:25 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 4001 -j ACCEPT
-A INPUT -p udp -m udp --dport 4002 -j ACCEPT
-A INPUT -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ACCEPT
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Jun 25 18:46:25 2010
# Generated by iptables-save v1.4.4 on Fri Jun 25 18:46:25 2010
*nat
:PREROUTING ACCEPT [3295:299167]
:POSTROUTING ACCEPT [4184:333234]
:OUTPUT ACCEPT [2787:249992]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 25 18:46:25 2010

если сделать

Код: [Выделить]

sudo /etc/init.d/networking restartто они сбиваются

[Mam(O)n]

вчера исправлял.... было вот так

Ага, вот так и надо. Зафиксируй. Теперь интересно бы повторить то, с tcpdump.
Пользователь решил продолжить мысль 25 Июня 2010, 19:51:25:

если сделать

Код: [Выделить]

sudo /etc/init.d/networking restartто они сбиваются

Ну так твой скрипт инициализации отрабатывает, правь в нем правила.

[showme]

вот. на винде nslookup без таймаутов идет.

[Mam(O)n]

Чета туда запросы по http://85.202.240.71 не попали... Зато видно удачное разрешение имени login.icq.com.... Попробуй еще раз, но подольше немного подержать tcpdump и браузер загрузить заново.
Пользователь решил продолжить мысль 25 Июня 2010, 20:02:07:зы. Кажется я начинаю понимать... Еще раз правило с ttl введи и проверь его наличие, по sudo iptables-save

[showme]

Что интересное, по udp видно, обмен идёт...

В прядке бреда, попробуй вот чего:

Код: [Выделить]

sudo iptables -t mangle -A PREROUTING  -j TTL --ttl-inc 1


это правило?
только его ввел и ноуте зашло в скайп, асю... и вроде и сайты грузятся... в чем проблема была то? а то я не понял))

[Mam(O)n]

только его ввел и ноуте зашло в скайп, асю... и вроде и сайты грузятся... в чем проблема была то? а то я не понял))

Да, я уже предполагал, что провайдер твой жуткий бяка, который специально выставленным значением TTL=1 борется с таким проявлением как NAT например в домашних роутерах или в вендовском ICS. Но на каждую хитрую жопу как известно есть отмычка...

А прийти к этому долго не могли, т.к. у тебя периодически слетали правила...

[showme]

Почему же если на венде раздавать то всё окей было?

[Mam(O)n]

Почему же если на венде раздавать то всё окей было?

Если только через прокси... Через NAT не может так работать, ttl - 1 на каждом хопе никто не отменял что на венде что на остальных системах.. Кстати может это быть нововведение провайдера и теперь не будет работать...