Казначейство и NAT

[Romanuga]

Доброго времени суток господа =)
У меня возникла некая проблема с настройкой iptables'а, помогите люди добрые или ткните носом куда следует )) прошу сильно ни пинать если что то не так =)

Есть на свете такая программа "Клиент Континент" для установки соединения с серверами Федерального Казначейства, она требует прямого соединения и не работает совсем с проксями (варианты в виде программ перенаправления трафика на прокси не принимаются, хочется всё по человечески сделать). Этому клиенту континенту нужны для работы два порта: TCP 4439 и UDP 4440, что и как по этим портам передаётся я не знать.
Раньше документы отправляли посредством аццки шипящего девайса, теперь объёмы работ увеличелись во много крат и диалапный мопед не подходит из за большой траты времени подключатся, отключатся. По этим причинам решено было рыгнуть мозгом и сделать правила иптаблеса, но что то не особо получается из за недопонимая.

Сетка у нас большая и выходит за пределы города до вышестощей организации, шлюзы, ДНСы всё поднято на виндуфсе, на сервере с проксёй две сетевые, одна до мопеда, вторая в нутро сети смотрит, и pppd конектится:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:17:9a:06:91:f7
          inet6 addr: fe80::217:9aff:fe06:91f7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:32284 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34430 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:22980728 (22.9 MB)  TX bytes:5630827 (5.6 MB)
          Interrupt:17

eth1      Link encap:Ethernet  HWaddr 00:19:5b:30:95:6d
          inet addr:10.0.16.26  Bcast:10.0.16.255  Mask:255.255.255.0
          inet6 addr: fe80::219:5bff:fe30:956d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:39735 errors:0 dropped:0 overruns:0 frame:0
          TX packets:43820 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6261936 (6.2 MB)  TX bytes:32228942 (32.2 MB)
          Interrupt:22

ppp0      Link encap:Point-to-Point Protocol
          inet addr:188.16.170.239  P-t-P:90.151.12.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:30820 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32959 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:22085447 (22.0 MB)  TX bytes:4679521 (4.6 MB)

Адресация сети у мну 10.0.16.0/24, адрес выдаваемый провайдером динамический.

В конторе в инет все бегаем через Squid, ОС Ubuntu Server 9.10, на машине стоит ТОЛЬКО сквид и ничего больше, после прочтения мануалов, постов, вроде допёрло как сделать правило iptables'a

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 4439 -i ppp0 -j DNAT --to 10.0.16.34
$ sudo iptables -t nat -A PREROUTING -p udp --dport 4440 -i ppp0 -j DNAT --to 10.0.16.34

Программа запустилась, приконектилась и даже что то отправляли, НО:
1. почему то отваливается каждую минуту континент, и снова коннектится, чего ему нехватает даж не знаю...
2. программа работает только ТОГДА, когда в правилась сетевого подключения в качестве шлюза указываем 10.0.16.26 (тоесть адрес машины с проксёй) а не нормальный как должен быть 10.0.16.1

Как только не насиловал я правила, как только не извращался нид ними...что то не получается настроить НАТ для корректной и безпроблемной работы клиента континента...
Люди добрые, памажите пажалуйста, то савсем моск дурак не позволяет собственными сила исправить сию ситауцию.

[AnrDaemon]

Вместо прописи дефолтного шлюза добавь маршрут(ы) на IP банка через 10.0.16.26.
На 10.0.16.26 должна быть разрешена маршрутизация. В forward поставь default DROP и разреши только те два порта, плюс обратку.

[Romanuga]

а не подскажите в какую сторону начать копать? не очень силён в напильниках линукса )))

[bober_man]

Скопируй данные строки в /etc/iptables.up.rules предваритьльно сохрани старые., если вдруг там ещё чего есть.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#Тут разрешаем дынные порт для опред внутр IP
-A POSTROUTING -p tcp -s 10.10.1.10 --dport 4439 -j SNAT --to-source ВНЕШНИЙ_IP  --dst ! 10.10.1.0/255.255.255.0
-A POSTROUTING -p tcp -s 10.10.1.10 --dport 4440 -j SNAT --to-source ВНЕШНИЙ_IP  --dst ! 10.10.1.0/255.255.255.0
#Перенаправляем HTTP на Squid proxy
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128
#Перенаправляем FTP на Frox proxy ФТП прокси (если есть конечно)
-A PREROUTING -p tcp -m tcp -i eth0 --dport 21 -j REDIRECT --to-ports 2121
COMMIT
#Закрыть всё
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4439 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 4440 -j ACCEPT
COMMIT
#Completed

[AnrDaemon]

Не будет работать.

[bober_man]

точно. Не внимательно читал тему ))

[AnrDaemon]

*filter
:FORWARD DROP [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.0.16.34 -p tcp -m tcp --dport 4439 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.0.16.34 -p udp -m udp --dport 4440 -m state --state NEW -j ACCEPT
COMMIT

Чет такое должно быть. IMHO. Если я правильно понимаю направление передачи данных. Если нет, то опишите задание нормальным языком.

[Romanuga]

Пробовал писать маршруты на локальной машине где установлен "Клиент Континент", отваливается через каждую минуту, попробовал уже внаглую ввести iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE и выставил шлюзом машину с инетом работает на УРА...в чем дело ни пайму, изкавырял всё и вся, так и не доходит до меня как ещё можно сделать...

[Ton]

Если не ошибаюсь: как раз MASQUERADE и надо делать. IP адрес при коннекте динамический.

[Romanuga]

Да, адрес динамический, я так понял что нужен DNAT, а то получается если сделать iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE большая дырка на проксе с беспроблемным доступом к нутру сети, не есть хорошо...
Кто могёт подскажите пажалуйста

[nau..]

на сколько знаю, настраивал в одной из контор, просто иметь связь через инет мало. перед запуском клиент континент запускается впн-коннект. затем только запускается континент. собсно само решение лежит в создании впн-коннекта на каждой машине которая использует континент.
только галочку снимите в св-вах впн, использовать шлюз в удаленной системе.

[Гарри Кашпировский]

Да, адрес динамический, я так понял что нужен DNAT, а то получается если сделать iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE большая дырка на проксе с беспроблемным доступом к нутру сети, не есть хорошо...
Кто могёт подскажите пажалуйста

Понятно что дырка.Тут чуть правила подправить треба.

Код: [Выделить]

-A POSTROUTING -s 10.0.16.0/24 ! -d 10.0.16.0/24 -o ppp0 -p tcp -m tcp --dport 4439 -j MASQUERADE
-A POSTROUTING -s 10.0.16.0/24 ! -d 10.0.16.0/24 -o ppp0 -p tcp -m tcp --dport 4440 -j MASQUERADE

[Romanuga]

Что то не хатит:
sudo iptables -A POSTROUTING -s 10.0.16.0/24 ! -d 10.0.16.0/24 -o ppp0 -p tcp -m tcp --dport 4439 -j MASQUERADE
iptables: No chain/target/match by that name.

[Mam(O)n]

-t nat не хватает
Пользователь решил продолжить мысль 04 Марта 2010, 10:30:46:

большая дырка на проксе с беспроблемным доступом к нутру сети, не есть хорошо...

большая дырка обычно у тех, кто не прописал правильно правила в таблицу FORWARD. AnrDaemon выше пример привёл, как надо делать.