IPtables нужна помощь

[admin4ek]

есть сервер биллинга
на нем есть 2-а типа авторизации
1-я pppoe (192.168.160.0/24)
2-я IPN по айпи (тут все сложно) пользователь который не авторизировался должен попадать в редирект на страницу авторизации, полсле введения логина и пароля на серваке выролняется команда типа
sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT
т.е. по умолчанию должено быть в скрипте -P FORWARD DROP но при этом на pppoe пропадает инет

скипт до боли простой, может кто подскажет как обьеденить это все добро

(Нажмите, чтобы показать/скрыть)

#!/bin/bash
IPT="/sbin/iptables"

############################################################################################
# Начало скрипта
start_fw()
    {
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# удаляем все имеющиеся правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle

$IPT -A FORWARD -j DROP

$IPT -t nat -N REDIR_AUTH

$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443
$IPT -t nat -A PREROUTING -s 192.168.4.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH

$IPT -t nat -A POSTROUTING  -s 192.168.160.0/22 -j SNAT --to-source 78.x.x.x

192.168.160.0/22 -pppoe
192.168.4.0/22 - локалка  с которой подключаются по двум протоколам
78.x.x.x - внешний адресс сервера
к сожалению сервер рабочий не могу на живую ковырять, а вот тестового ведра нету(((
Пользователь решил продолжить мысль 27 Мая 2011, 09:59:21:ни у кого нет мыслей?

[victor00000]

Попробувал начало включить сеть на интернет работает умеешь?

[podkovyrsty]

Код: [Выделить]

как обьеденить это все доброЧто имеется ввиду?

[admin4ek]

Все очень просто есть локалка
внутреняя сеть 192.168.4.0/22 на eth0. C нее все конектятся на сервер, для подключения к интеренту, как по pppoe так и по IPN(то что я описал выше) Нужно все залочить  в DROP пустить все цепи, и когда клиент пытается пройти не авторизированым на любой сайт его перебрасывало на страницу авторизации. на этот же сервер на 80 порт.(это только для абонентов на IPN) Но при этом чтоб на виртульной сети 192.168.160.0/24 был постоянно SNAT т.к. не из одной из 2-х сетей не  видно эту сеть так как она становиться доступной только после авторизации по PPPoE .
ip сервера во внутреней сети 192.168.5.2/
Пользователь решил продолжить мысль 27 Мая 2011, 11:18:39:я например думаю что где-то так вот должно получится

(Нажмите, чтобы показать/скрыть)

#!/bin/bash
IPT="/sbin/iptables"

# Начало скрипта
start_fw()
    {
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
#$IPT -P FORWARD ACCEPT
$IPT -P FORWARD DROP

# удаляем все имеющиеся правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle

$IPT -t nat -N REDIR_AUTH
$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443
$IPT -t nat -A PREROUTING -s 192.168.5.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH
$IPT -t nat -A POSTROUTING  -s 192.168.5.0/22 -j SNAT --to-source 78.154.170.75



$IPT -I FORWARD -s 192.168.160.0/24 -d 0/0 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d %192.168.160.0/24 -j ACCEPT
$IPT -t nat -A POSTROUTING  -s 192.168.160.0/24 -j SNAT --to-source 78.154.170.75

только вот додумать нужно
Пользователь решил продолжить мысль 27 Мая 2011, 11:29:56:да почти все норм, единсвенное не могу понять почему меня не перекидывает на страницу авторизации мало  того и не могу зайти на веб страницу сервера не пускает пока не подключусь к интеренту...

[podkovyrsty]

В общем должно получиться так.
В прероутинге вы перехватываете те пакеты из isp подсети, назначение которых не равно подсети pptp клиентов, и отправляете на авторизацию.
Остальные пропускаете и они спокойно уходят в подсеть pptp

[admin4ek]

в последнем спойлере уже все с pppoe норм, и клиетам у которых включен интернет на IPN тоже все гуд и на веб заходят сервера и инет есть, проблема только с тем если я не подключен, то не могу попасть на страницу авторизации, на этот же сервер на 80 порт, даже введя его адресс руками в браузере не говоря о редиректе

[podkovyrsty]

sudo iptables-save

[admin4ek]

вот

(Нажмите, чтобы показать/скрыть)

root@router:~# sudo iptables-save
# Generated by iptables-save v1.4.4 on Fri May 27 11:42:32 2011
*mangle
:PREROUTING ACCEPT [3624249:2152703517]
:INPUT ACCEPT [386616:53598771]
:FORWARD ACCEPT [3230688:2098339642]
:OUTPUT ACCEPT [373826:54391850]
:POSTROUTING ACCEPT [3471589:2144334658]
COMMIT
# Completed on Fri May 27 11:42:32 2011
# Generated by iptables-save v1.4.4 on Fri May 27 11:42:32 2011
*nat
:PREROUTING ACCEPT [479804:32257318]
:OUTPUT ACCEPT [5478:602173]
:POSTROUTING ACCEPT [5188:531528]
:REDIR_AUTH - [0:0]
-A PREROUTING -s 192.168.4.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUT                                                                              H
-A POSTROUTING -s 192.168.160.0/24 -j SNAT --to-source 78.154.170.75
-A POSTROUTING -s 192.168.4.0/22 -j SNAT --to-source 78.154.170.75
-A REDIR_AUTH -s 192.168.7.221/32 -j RETURN
-A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443
COMMIT
# Completed on Fri May 27 11:42:32 2011
# Generated by iptables-save v1.4.4 on Fri May 27 11:42:32 2011
*filter
:INPUT ACCEPT [386616:53598771]
:FORWARD DROP [132803:8433779]
:OUTPUT ACCEPT [373109:54330593]
-A FORWARD -d 192.168.7.221/32 -j ACCEPT
-A FORWARD -s 192.168.7.221/32 -j ACCEPT
-A FORWARD -d 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 78.154.170.75/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 78.154.170.75/32 -j ACCEPT
-A FORWARD -s 192.168.5.2/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 192.168.5.2/32 -j ACCEPT
COMMIT

[podkovyrsty]

забыл спросить:
а ваш ip какой, и как подключаетесь - напрямую по кабелю?

[admin4ek]

локалка ( с нее все конектятся)
ip сервера 192.168.5.3/22 eth0
ip мой 192.168.7.221

PPPoE 192.168.160.0/24
виртуальный шлюз на сервере 192.168.160.1

внешка сервера 78.x.x.x eth1

да прямо по кабелю в серверную который идет и там в обычный свитч

[victor00000]

MASQUERADE нету? добавить нужно
iptables -A REDIR_AUTH -t nat -j MASQUERADE

[admin4ek]

MASQUERADE нету? добавить нужно
iptables -A REDIR_AUTH -t nat -j MASQUERADE

маскарад при таком колличестве пользователей положит сервер спатки, нужен SNAT

[victor00000]

у тебя скрипт добавить строка iptables -A REDIR_AUTH -t nat -j MASQUERADE перезапустить.

[podkovyrsty]

Действительно странно - ваш IP должно пускать сразу и без вопросов.
Может дело в настройках сервера - он не слушает на этом интерфейсе просто?

[admin4ek]

все норм, я когда подключен к инету то все гуд с любой стороны не вопрос работает
Пользователь решил продолжить мысль 27 Мая 2011, 14:39:58:это когда я не подключен через IPN

(Нажмите, чтобы показать/скрыть)

sudo iptables-save
# Generated by iptables-save v1.4.4 on Fri May 27 13:38:56 2011
*mangle
:PREROUTING ACCEPT [14018711:9292525444]
:INPUT ACCEPT [986373:162116164]
:FORWARD ACCEPT [13013293:9128405830]
:OUTPUT ACCEPT [968773:182162528]
:POSTROUTING ACCEPT [13804314:9299014063]
COMMIT
# Completed on Fri May 27 13:38:56 2011
# Generated by iptables-save v1.4.4 on Fri May 27 13:38:56 2011
*nat
:PREROUTING ACCEPT [1112268:76236113]
:OUTPUT ACCEPT [11661:1298003]
:POSTROUTING ACCEPT [11205:1185717]
:REDIR_AUTH - [0:0]
-A PREROUTING -s 192.168.4.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUT                                                                              H
-A POSTROUTING -s 192.168.160.0/24 -j SNAT --to-source 78.154.170.75
-A POSTROUTING -s 192.168.4.0/22 -j SNAT --to-source 78.154.170.75
-A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443
COMMIT
# Completed on Fri May 27 13:38:56 2011
# Generated by iptables-save v1.4.4 on Fri May 27 13:38:56 2011
*filter
:INPUT ACCEPT [986377:162116364]
:FORWARD DROP [177144:11571350]
:OUTPUT ACCEPT [967280:182023267]
-A FORWARD -d 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 78.154.170.75/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 78.154.170.75/32 -j ACCEPT
-A FORWARD -s 192.168.5.2/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 192.168.5.2/32 -j ACCEPT
COMMIT
# Completed on Fri May 27 13:38:56 2011
root@router:~#