Автор Тема: iptables и vpn (Прочитано 1503 раз)

1Rt · « : 01 Августа 2015, 17:40:10 »

Доброе время суток!!

Столкнулся с такой проблемой при настройке iptables, слетает vpn соединение, и даже поле сброса настроек к vpn подключиться нельзя(пишет "VPN службу запустить нельзя", помогает тока перезагрузка.

Немного предыстории.
Провайдер раздает интернет посредством vpn(pptp), есть локальная сеть есть впн через который и ходим в инет.
В iptables, вводил стандартные правила:

Код: [Выделить]

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT 

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP 

iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

В итоге локальная сеть работает, а вот впн работать отказывает. Что делать пока немгу понять.
Пмогите решить проблему.

AnrDaemon · « **Ответ #1 :** 01 Августа 2015, 18:14:22 »

Цитата: 1Rt от 01 Августа 2015, 17:40:10

В iptables, вводил стандартные правила:

Чё?

Зачем делать…

Код: [Выделить]

iptables -P INPUT DROP
если двумя строчками ниже

Код: [Выделить]

iptables -A INPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT вы про неё забываете?…

И особо, конечно, посмешило

Код: [Выделить]

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
после всего предыдущего.
Вы ман-то хотя бы по диагонали прочли?

Цитировать

В итоге локальная сеть работает, а вот впн работать отказывает. Что делать пока немгу понять.
Пмогите решить проблему.

А с чего вообще взяли, что проблема в настроках нетфильтра?…
У вас же прямо говорил, что не может запуститься, а не не может подключиться.

1Rt · « **Ответ #2 :** 01 Августа 2015, 19:19:44 »

Делал вот по этой инструкции
https://www.linux.org.ru/forum/security/7057281
Посчитал это самым простым.
Мне нужно просто настроить для домашнего компьютер фаервол не больше, поэтому тонны факов не читал, взял готовое.

Даже если отбросить то что вас так насмешило, проблема начинается после ввода

Код: [Выделить]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Цитировать

А с чего вообще взяли, что проблема в настроках нетфильтра?…
У вас же прямо говорил, что не может запуститься, а не не может подключиться.

Запуститься не может после ввода данных правил, без них все прекрасно работает

AnrDaemon · « **Ответ #3 :** 01 Августа 2015, 19:28:35 »

Дебил писал статью.
Если вам нужны правила на минимальную защиту, смотрите мою статью про загрузку правил при старте машины.
И читайте документацию! А то понапишут херни в систему, а потом удивляются, почему ничего не работает.

1Rt · « **Ответ #4 :** 01 Августа 2015, 19:43:44 »

Сделал все по вашей инструкции, результат остался тем же.

AnrDaemon · « **Ответ #5 :** 01 Августа 2015, 22:28:39 »

Диагностику мы вообще увидим?
Хотя бы iptables-save

1Rt · « **Ответ #6 :** 02 Августа 2015, 10:04:39 »

iptables-save выдает следующее:

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Sun Aug  2 16:24:37 2015
*nat
:PREROUTING ACCEPT [36:4025]
:INPUT ACCEPT [31:2735]
:OUTPUT ACCEPT [3686:240895]
:POSTROUTING ACCEPT [3683:240617]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
COMMIT
# Completed on Sun Aug  2 16:24:37 2015
# Generated by iptables-save v1.4.21 on Sun Aug  2 16:24:37 2015
*filter
:INPUT DROP [44:4821]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [748:175735]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Aug  2 16:24:37 2015

Все по ващей инструкции.
Также заметил что загрузка старых правил уже не вызывает сбой службы vpn, а вот сброс через iptables -F да.
Настройки при которых все работает:

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Sat Aug  1 20:46:02 2015
*nat
:PREROUTING ACCEPT [6:921]
:INPUT ACCEPT [6:921]
:OUTPUT ACCEPT [145:9276]
:POSTROUTING ACCEPT [145:9276]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
COMMIT
# Completed on Sat Aug  1 20:46:02 2015
# Generated by iptables-save v1.4.21 on Sat Aug  1 20:46:02 2015
*filter
:INPUT ACCEPT [792:367761]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [968:127658]
:DOCKER - [0:0]
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
COMMIT
# Completed on Sat Aug  1 20:46:02 2015

AnrDaemon · « **Ответ #7 :** 02 Августа 2015, 15:16:16 »

Инструкция то моя, по крайней мере частично.
А вот то, что это виртуалка - предупреждать надо.
Какие там приколы у докера - вам лучше спросить на форуме докера.

1Rt · « **Ответ #8 :** 02 Августа 2015, 18:19:24 »

Докер не причем, тоже самое происходит и на другом компьютере.Я так подозреваю дело в том, что vpn трафик идет по цепочке input, который как раз закрыт

AnrDaemon · « **Ответ #9 :** 02 Августа 2015, 18:40:19 »

man iptables
прежде чем делать такие заявления.

Да, кстати, какая весия этих самых iptables стоит?
И покажите вывод

lsmod | grep -E "^nf_"

1Rt · « **Ответ #10 :** 02 Августа 2015, 19:21:23 »

iptables v1.4.21

Код: [Выделить]

nf_nat_ipv4            13263  1 iptable_nat
nf_nat                 22050  3 ipt_MASQUERADE,nf_nat_ipv4,iptable_nat
nf_conntrack_ipv4      14806  2 
nf_defrag_ipv4         12758  1 nf_conntrack_ipv4
nf_conntrack          105081  6 ipt_MASQUERADE,nf_nat,nf_nat_ipv4,xt_conntrack,iptable_nat,nf_conntrack_ipv4

AnrDaemon · « **Ответ #11 :** 02 Августа 2015, 19:25:44 »

Добавьте в /etc/modules строчку

Код: [Выделить]

nf_conntrack_proto_gre

1Rt · « **Ответ #12 :** 02 Августа 2015, 21:53:19 »

Не помогло.
Насколько я понимаю модуль gre нужен после установки соединения, а соединение не происходит
Также делал по этой инструкции но толку ноль

AnrDaemon · « **Ответ #13 :** 02 Августа 2015, 22:06:36 »

Да, conntrack_GRE нужен только после.
Но.
Модуль GRE подгружает остальные нужные модули. В частности conntrack_pptp.

1Rt · « **Ответ #14 :** 03 Августа 2015, 09:00:30 »

Наконец то решил проблему.
Подгрузил модуль ip_nat_pptp. Добавил в /etc/modules для автоматической загрузки в итоге имею вот это:

Код: [Выделить]

 # Generated by iptables-save v1.4.21 on Mon Aug  3 15:55:23 2015
*nat
:PREROUTING ACCEPT [8:624]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [135:8451]
:POSTROUTING ACCEPT [135:8451]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
COMMIT
# Completed on Mon Aug  3 15:55:23 2015
# Generated by iptables-save v1.4.21 on Mon Aug  3 15:55:23 2015
*filter
:INPUT DROP [12:916]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [916:109214]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon Aug  3 15:55:23 2015

Хотел бы уточнить, все ли в порядке с данными правилами?

Форум русскоязычного сообщества Ubuntu

Автор Тема: iptables и vpn (Прочитано 1503 раз)

1Rt

iptables и vpn

AnrDaemon

Re: iptables и vpn

1Rt

Re: iptables и vpn

AnrDaemon

Re: iptables и vpn

1Rt

Re: iptables и vpn

AnrDaemon

Re: iptables и vpn

1Rt

Re: iptables и vpn

AnrDaemon

Re: iptables и vpn

1Rt

Re: iptables и vpn

AnrDaemon

Re: iptables и vpn

1Rt

Re: iptables и vpn

AnrDaemon

Re: iptables и vpn

1Rt

Re: iptables и vpn

AnrDaemon

Re: iptables и vpn

1Rt

Re: iptables и vpn