[РЕШЕНО] Вопрос по IPTABLES - 2 pppoe интерфейса......

[Mam(O)n]

Это не интересно. Нужно sudo iptables-save

[drama17]

# iptables-save
# Generated by iptables-save v1.4.4 on Sat Feb 26 15:22:34 2011
*nat
:PREROUTING ACCEPT [818859:81684019]
:POSTROUTING ACCEPT [597955:43156961]
:OUTPUT ACCEPT [689108:50932495]
-A PREROUTING -p tcp -m tcp --dport 1194 -j RETURN
-A PREROUTING -s 85.90.x.x/32 -p icmp -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 5666 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 5666 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5666 -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 5222 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 5222 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 5280 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 5280 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5280 -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 1723 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 1723 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1723 -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 20 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 20 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20 -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 21 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 21 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j RETURN
-A PREROUTING -i ppp6 -p tcp -m tcp --dport 22 -j RETURN
-A PREROUTING -i ppp5 -p tcp -m tcp --dport 22 -j RETURN
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22 -j RETURN
-A PREROUTING -i ppp5 -j DNAT --to-destination 192.168.0.35
-A PREROUTING -i ppp6 -j DNAT --to-destination 192.168.0.35
-A POSTROUTING -o tap0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -o ppp5 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -o ppp6 -j MASQUERADE
COMMIT
# Completed on Sat Feb 26 15:22:34 2011
# Generated by iptables-save v1.4.4 on Sat Feb 26 15:22:34 2011
*filter
:INPUT ACCEPT [68675996:32127397949]
:FORWARD ACCEPT [12950162:6227262668]
:OUTPUT ACCEPT [80110218:69754624315]
-A INPUT -s 192.168.0.0/16 -i tap0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -s 192.168.0.0/16 -i tap0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -s 192.168.0.0/16 -i tap0 -p tcp -m tcp --dport 135 -j DROP
COMMIT
# Completed on Sat Feb 26 15:22:34 2011
# Generated by iptables-save v1.4.4 on Sat Feb 26 15:22:34 2011
*mangle
:PREROUTING ACCEPT [82045125:38396346525]
:INPUT ACCEPT [68676008:32127399273]
:FORWARD ACCEPT [12975779:6241404485]
:OUTPUT ACCEPT [80140097:69757733415]
:POSTROUTING ACCEPT [93119210:76001311811]
-A PREROUTING -s 192.168.0.33/32 -j MARK --set-xmark 0x63/0xffffffff
-A FORWARD -o ppp6 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o ppp5 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400
-A POSTROUTING -o ppp6 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400
COMMIT
# Completed on Sat Feb 26 15:22:34 2011

[Mam(O)n]

-A PREROUTING -s 192.168.0.33/32 -j MARK --set-xmark 0x63/0xffffffff

Откуда взялось значение 0x63?

[drama17]

iptables -t mangle -I PREROUTING -s 192.168.0.33 -j MARK --set-mark 99

(я поменял маркировку с 10 на 99, так как 10 уже использовалась)

$ sudo ip rule list

0:      from all lookup local
32761:  from 192.168.0.33 fwmark 0x63 lookup reserv
32762:  from all fwmark 0x63 lookup reserv
32763:  from 192.168.0.35 lookup reserv
32765:  from all fwmark 0xa lookup default
32766:  from all lookup main
32767:  from all lookup default

[Mam(O)n]

Кстати, чёт сразу не заметил, транзит надо не в PREROUTING а в FORWARD помечать... субботняя невменяемость
Пользователь решил продолжить мысль 26 Февраля 2011, 18:06:25:

(я поменял маркировку с 10 на 99, так как 10 уже использовалась)

Ну а я больше склоняюсь к тому, чтоб метка была таже, что и id у таблицы, чтоб путаницы меньше было...

[drama17]

всмысле создать таблицу с именем 99?   пробовал по forward пускать, но тогда оно почему-то через основной интерфейс шло.
Пользователь решил продолжить мысль 26 Февраля 2011, 18:47:53:Если я правильно понимаю, маршрутизация происходит после прероутинга перед форвард/инпут.

[Mam(O)n]

всмысле создать таблицу с именем 99?

Не с именем, а с id. Я вообще rt_tables не использую. Но это мое личное предпочтение.

пробовал по forward пускать, но тогда оно почему-то через основной интерфейс шло.

Да, туплю, действительно PREROUTING у меня используется везде.

[drama17]

Ну щас попробую поменять 

[Mam(O)n]

А что tcpdump -ni ppp6 кажет?

[drama17]

# tcpdump -ni ppp6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp6, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
19:16:05.442623 IP 109.165.76.104.35691 > 94.179.x.x.14219: UDP, length 30
19:16:06.797696 IP 94.179.x.x > 87.250.251.3: ICMP echo request, id 512, seq 19968, length 40
19:16:06.861131 IP 87.250.251.3 > 94.179.x.x: ICMP echo reply, id 512, seq 19968, length 40
19:16:11.804318 IP 94.179.x.x > 87.250.251.3: ICMP echo request, id 512, seq 20224, length 40
19:16:11.871938 IP 87.250.251.3 > 94.179.x.x: ICMP echo reply, id 512, seq 20224, length 40
19:16:16.811954 IP 94.179.x.x > 87.250.251.3: ICMP echo request, id 512, seq 20480, length 40
19:16:16.878776 IP 87.250.251.3 > 94.179.x.x: ICMP echo reply, id 512, seq 20480, length 40
19:16:21.816093 IP 94.179.x.x > 87.250.251.3: ICMP echo request, id 512, seq 20736, length 40
19:16:21.880205 IP 87.250.251.3 > 94.179.x.x: ICMP echo reply, id 512, seq 20736, length 40
19:16:26.832261 IP 94.179.x.x > 87.250.251.3: ICMP echo request, id 512, seq 20992, length 40
19:16:26.899612 IP 87.250.251.3 > 94.179.x.x: ICMP echo reply, id 512, seq 20992, length 40

Пользователь решил продолжить мысль 26 Февраля 2011, 20:31:53:94.179.x.x - внешний ип для ррр6

В это время я пытаюсь пинать ya.ru с винды. Похоже, что пакеты выходят и приходят, но не доходят, как-будто нат не пашет... если я правильно понял.
Такое ощущение, что сервак не знает, куда их передавать дальше, или как?

[Mam(O)n]

А в это время со стороны локалки только эхо-запросы видны? Хм. А может это rp_filter так чудит? Попробуй отключить его:

Код: [Выделить]

echo 0 | sudo tee /proc/sys/net/ipv4/conf/*/rp_filter


[drama17]

Заработало!
Сделал: echo 0 > /proc/sys/net/ipv4/conf/ppp6/rp_filter
В понедельник попробую конкретно с коннектом впн.
Надо почитать, что за фильтр .

Спасибо всем кто помогал
Пользователь решил продолжить мысль 26 Февраля 2011, 22:16:32:Хотя не совсем уверен, что после того, как отключил его, заработало. Сейчас пишу туда единицу - и все равно пашет.
Пользователь решил продолжить мысль 26 Февраля 2011, 22:18:24:А не, 100% он!!!!, как только 0 пишу - сразу все ок! зачем он нужен, это ничего, что я его отключаю??

[Mam(O)n]

Этот фильтр фильтрует те пакеты, если нет обратного маршрута через тот же интерфейс.

[drama17]

Короче, я так понимаю, ничего страшного, если его отрубить

[Mam(O)n]

Да, отрубай баз зазрения совести. В мультипровайдеской конфигурации он обычно только мешает.