не открывает https://....

[SergUbuntu]

стоит ubuntu  server 9.10, раздает инет , для авторизации используется VPN-сервер, прикручены SQUID, NetAMS(считает трафик через queue), iptables - все хорошо,
только не открывает некоторые https-сайты (в частности https://www.faktura.ru/enter.jsp) а очень надо. Показывает статус "Загрузка..." и ничего не происходит.
Причем если раздавать инет  напрямую (не через VPN) - ниже для адреса 10.0.0.203 - все работает.

в логах появляется и повторяется строка:
kernel: [161787.928508] IPT New not syn:IN=eth0 OUT= MAC=00:c0:26:a2:3b:46:00:1e:58:cd:ea:27:08:00 SRC=195.161.112.97 DST=(---мой внеш. IP---) LEN=1400 TOS=0x00 PREC=0x00 TTL=119 ID=5273 DF PROTO=TCP SPT=443 DPT=1332 WINDOW=50320 RES=0x00 ACK PSH URGP=0

iptables-save :

# Generated by iptables-save v1.4.4 on Sat Feb  6 15:42:02 2010
*nat
:PREROUTING ACCEPT [161924:15944312]
:POSTROUTING ACCEPT [1007:147720]
:OUTPUT ACCEPT [30123:2213755]
-A PREROUTING -d --мой внеш IP--/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.201
-A PREROUTING -d --мой внеш IP--/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.202
-A PREROUTING -s 192.168.111.0/24 -p tcp -m multiport --dports 80,81,8080,3128 -j REDIRECT --to-ports 55123
-A POSTROUTING -o eth0 -j SNAT --to-source --мой внеш IP--
-A POSTROUTING -d 10.0.0.201/32 -o eth1 -j SNAT --to-source 10.0.0.200
COMMIT
# Completed on Sat Feb  6 15:42:02 2010
# Generated by iptables-save v1.4.4 on Sat Feb  6 15:42:02 2010
*mangle
:PREROUTING ACCEPT [88836137:45663508776]
:INPUT ACCEPT [37817002:23163236378]
:FORWARD ACCEPT [51017630:22499469054]
:OUTPUT ACCEPT [18299938:3305042564]
:POSTROUTING ACCEPT [69318373:25804617289]
COMMIT
# Completed on Sat Feb  6 15:42:02 2010
# Generated by iptables-save v1.4.4 on Sat Feb  6 15:42:02 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:52]
:QACCEPT - [0:0]
:QDROP - [0:0]
:bad_tcp_packets - [0:0]
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -j QACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -m state --state RELATED,ESTABLISHED -j QACCEPT
-A FORWARD -d 10.0.0.201/32 -i eth0 -p tcp -m tcp --dport 3389 -j QACCEPT
-A FORWARD -s 192.168.111.0/24 -o eth0 -j QACCEPT
-A FORWARD -s 10.0.0.203/32 -o eth0 -j QACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j QACCEPT
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -j QACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A QACCEPT -j QUEUE
-A QACCEPT -j ACCEPT
-A QDROP -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j LOG --log-prefix "IPT Reject:"
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "IPT New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j QDROP

помогите пож-та...

[AnrDaemon]

Убери эту портянку, показывай iptables-save

[bober_man]

сделайте маскарадинг 443 порта средствами iptables.
Как нить так
-A POSTROUTING -p tcp -s 10.0.0.0/24 --dport 443 -j SNAT --to-source ВНЕШНИЙ_IP  --dst ! 10.0.0.0/255.255.255.0
 И всех делов то  

[SergUbuntu]

сделайте маскарадинг 443 порта средствами iptables.
Как нить так
-A POSTROUTING -p tcp -s 10.0.0.0/24 --dport 443 -j SNAT --to-source ВНЕШНИЙ_IP  --dst ! 10.0.0.0/255.255.255.0
 И всех делов то  

Добавил
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.0.0.0/24 --dport 443 -j SNAT --to-source $INET_IP ! --dst 10.0.0.0/255.255.255.0
результат тот же... 
Что удивительно при таких же настройках фаерволла на ASP-Linuxe все работало, может какие-нибудь параметры ядра..

[bober_man]

sysctl -w net.ipv4.ip_forward="1"
это у Вас сделано??? И работает ли нат???

[SergUbuntu]

sysctl -w net.ipv4.ip_forward="1"
это у Вас сделано??? И работает ли нат???

нат работает, инет есть на машинах,
в скрипте запуска файервола - стоит echo "1" > /proc/sys/net/ipv4/ip_forward

[bober_man]

давайте ка свой iptables сюда

[SergUbuntu]

давайте ка свой iptables сюда

мой скрипт запуска iptables
################# VARIABLES ##########################
IPTABLES="/sbin/iptables"
INET_IFACE="eth0"
INET_IP="--мой внеш IP--"
LAN_IFACE="eth1"
LAN_IP="10.0.0.200"
REMOTE_DESKTOP_PORT="3389"
WIN_SERVER="10.0.0.201"
ENABLED_IP="192.168.111.0/24"
ENABLED_IP1="10.0.0.203/32"
#ENABLED_IP1="10.0.0.0/24"
PROXY_PORT="55123"

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_queue

################# END OF VARIABLES ##################

$IPTABLES --flush
$IPTABLES --delete-chain
$IPTABLES -t nat --flush
echo "1" > /proc/sys/net/ipv4/ip_forward

##################### SSH WILL WORK FOREVER #####################
$IPTABLES -A INPUT -p TCP -i $LAN_IFACE --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -o $LAN_IFACE --sport 22 -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -o $INET_IFACE --sport 22 -j ACCEPT
###################### LOG ##########################

##################### USER CHAINS ################################
$IPTABLES -N bad_tcp_packets
$IPTABLES -N QACCEPT
$IPTABLES -N QDROP

### bad_tcp_packets chain
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j LOG --log-prefix "IPT Reject:"
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "IPT New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j QDROP


### QUEUE&ACCEPT
$IPTABLES -A QACCEPT -j QUEUE
$IPTABLES -A QACCEPT -j ACCEPT

### QUEUE&DROP
$IPTABLES -A QDROP -j DROP


################ DEFAULT POLICY IS DROP ###########################
$IPTABLES -P INPUT   DROP
$IPTABLES -P OUTPUT  DROP
$IPTABLES -P FORWARD DROP

############################## PREROUTE  ##############################
$IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp --dport $REMOTE_DESKTOP_PORT -j DNAT --to-destination $WIN_SERVER
$IPTABLES -t nat -A PREROUTING -s $ENABLED_IP -p tcp -m multiport --dport 80,81,8080,3128 -j REDIRECT --to-port $PROXY_PORT
############################## POSTROUTE ##############################
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE                   -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.0.0.0/24 --dport 443 -j SNAT --to-source $INET_IP ! --dst 10.0.0.0/255.255.255.0

$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -d $WIN_SERVER -j SNAT --to-source $LAN_IP

############################## FORWARD   ##############################
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j QACCEPT
$IPTABLES -A FORWARD -i $INET_IFACE -d $WIN_SERVER -p tcp --dport $REMOTE_DESKTOP_PORT -j QACCEPT
$IPTABLES -A FORWARD -o $INET_IFACE -s $ENABLED_IP   -p all -j QACCEPT
$IPTABLES -A FORWARD -o $INET_IFACE -s $ENABLED_IP1   -p all -j QACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

############################## INPUT     ##############################
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -j QACCEPT
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

############################## OUTPUT    ##############################
$IPTABLES -A OUTPUT -p gre -m state --state ESTABLISHED,RELATED -j QACCEPT
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -j QACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

[AnrDaemon]

sudo iptables-save
Нафига нам ваш скрипт, мы что - ходячие интерпретаторы?

[SergUbuntu]

sudo iptables-save
Нафига нам ваш скрипт, мы что - ходячие интерпретаторы?

iptables-save выложил в начале темы

[terrible_user]

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE                   -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.0.0.0/24 --dport 443 -j SNAT --to-source $INET_IP ! --dst 10.0.0.0/255.255.255.0

$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -d $WIN_SERVER -j SNAT --to-source $LAN_IP
все ровно первым действием под действие SNAT попадает все что выходит с $INET_IFACE. А 3 вообще хз
попробуй поменять:

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $ENABLED_IP1 -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $ENABLED_IP -j SNAT --to-source $INET_IPИ не пытайтесь в POSTROUTING настроить фильтрацию

А вот эту строчку я бы посоветовал поставить последний

Код: [Выделить]

############################## FORWARD   ##############################
.....
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j QACCEPT

[SergUbuntu]

попробовал:

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $ENABLED_IP1 -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $ENABLED_IP -j SNAT --to-source $INET_IPне помогло..
еще попробовал отключить NetAMS, SQUID
фаерволл по умолчанию все разрешил, разрешил нат :

Код: [Выделить]

$IPTABLES -P INPUT   ACCEPT
$IPTABLES -P OUTPUT  ACCEPT
$IPTABLES -P FORWARD  ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE                   -j SNAT --to-source $INET_IP
результат тот же:
в реальной сети 10.0.0.0/24 все работает, а в виртуальной 192.168.111.0/24 - все открывается, кроме https://www.faktura.ru/enter.jsp,
причем если соединившись по внп попробовать открыть https://www.faktura.ru/enter.jsp - он задумается и если в это время разорвать впн-соединение, то (при прописанном шлюзе) - он откроет этот сайт (но мне то нужно всех перевести на впн) может что-то в настройках pptpd? такое ощущение что некоторые пакеты не могут пройти извне в виртуальную подсеть.

[SergUbuntu]

разобрался таки - если кому надо:

Эта операция изменяет значение MSS18 в заголовках пакетов TCP SYN, позволяя управлять максимальным размером сегмента для соединения. Операция может использоваться только для пакетов TCP и требует наличия в строке правила спецификации протокола -p tcp. Кроме того, для использования этой операции нужно включить опцию TCPMSS target support. Эта операция может служить для борьбы с “отмороженными” провайдерами и серверами, которые блокируют сообщения ICMP Fragmentation Needed19. Симптомы проблемы состоят в том, что с Linux-брандмауэра (маршрутизатора) обеспечивается беспрепятственный доступ, но стоящие за брандмауэром компьютеры не могут обмениваться большими пакетами с внешними хостами:
    *
      подключение к Web-серверам происходит беспрепятственно, но при загрузке содержимого процесс “умирает”;
    *
      мелкие почтовые сообщения приходят нормально, а большие не доходят совсем;
    *
      ssh работает хорошо, но scp зависает после стартовой инициализации.

Для решения проблемы можно использовать команду типа приведенной ниже:

Код: [Выделить]

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Опция
--set-mss value

используется для явной установки значения MSS, а

--clamp-mss-to-pmtu

автоматически выбирает для MSS значение (path_MTU – 40). Опции исключают одна другую и не могут использоваться совместно.

Для работы с операцией TCPMSS в ядре должна быть включена опция TCPMSS target support. Если для опции было выбрано значение M, потребуется также загрузка модуля ipt_TCPMSS.