после того как заблокировал все настройки маршрутизации
#iptables -A OUTPUT -p -gre -m state --state RELATED,ESTABLISHED -j ACCEPT
...
Поправлю: iptables к маршрутизации никакого отношения не имеют (ну кроме косвенных случаев с подменой адресов)
Огромоное спасибо вам за вашу помощь, осталось еще малая часть с чем бы хотелось разобраться.
На моем сервере настроена маршрутизация и squid. Вот настройки:
$ sudo nano /etc/network/interfaces
# LOOPBACK
auto lo
iface lo inet loopback
# ADSL
auto eth0
iface eth0 inet dhcp
# LAN
auto eth1
iface eth1 inet static
address 192.168.66.1
netmask 255.255.255.0
$ sudo nano /etc/dnsmasq.conf
listen-address=127.0.0.1,192.168.66.1
$ sudo nano /etc/rc.local
#!/bin/sh-e
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.66.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.66.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.66.1:3128
и при этом я настраиваю входящее VPN соединение с помощью пакета pptpd
$ sudo nano /etc/pptpd.conf
localip 192.168.66.1
bcrelay eth1
все отлично работает клиенты в инете я могу удаленно подключиться ч/з VPN, но если в файл rc.local добавить настройки которые рекомендуют для работы VPN, то у клиентов отваливается инет.
$ sudo nano /etc/rc.local
#!/bin/sh-e
echo 1 > /proc/sys/net/ipv4/ip_forward
# <<<непонятные настройки
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
# непонятные настройки>>>
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.66.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.66.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.66.1:3128
Есть предположение что это из-за того что в них не указан интерфейс с которого надо производить проброс пакетов, но хотелось бы вашего мнения.
Пользователь решил продолжить мысль 27 Марта 2011, 20:59:14:
# vpn
# Разрешаем протокол GRE для всех;
iptables -A INPUT -p gre -j ACCEPT
# Разрешаем соединение с PPTP-сервером для всех;
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
Появилась проблема, при добавлении этих настроек перед теми что служат для маршрутизации и проброса на проксю, у клиентов отвалился инет.