Originally Posted by
Power
iptables-save
Code:
# Generated by iptables-save v1.3.8 on Thu Feb 4 21:53:15 2010
*nat
:PREROUTING ACCEPT [674:81919]
:POSTROUTING ACCEPT [653:39801]
:OUTPUT ACCEPT [656:40373]
:VSERVER - [0:0]
-A PREROUTING -d 188.187.23.236 -j VSERVER
-A POSTROUTING -s ! 188.187.23.236 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o ppp1 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 51413:51419 -j DNAT --to-destination 192.168.1.1:51413
-A VSERVER -p udp -m udp --dport 51413:51419 -j DNAT --to-destination 192.168.1.1:51413
-A VSERVER -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.1.1:2222
-A VSERVER -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.1:2222
-A VSERVER -p tcp -m tcp --dport 17643:17649 -j DNAT --to-destination 192.168.1.2:17643
-A VSERVER -p udp -m udp --dport 17643:17649 -j DNAT --to-destination 192.168.1.2:17643
-A VSERVER -p tcp -m tcp --dport 30002 -j DNAT --to-destination 192.168.1.2:30002
-A VSERVER -p udp -m udp --dport 30002 -j DNAT --to-destination 192.168.1.2:30002
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.1.1:8821
COMMIT
# Completed on Thu Feb 4 21:53:15 2010
# Generated by iptables-save v1.3.8 on Thu Feb 4 21:53:15 2010
*mangle
:PREROUTING ACCEPT [5741:4268096]
:INPUT ACCEPT [5183:4067105]
:FORWARD ACCEPT [554:199215]
:OUTPUT ACCEPT [6783:1650864]
:POSTROUTING ACCEPT [7384:1856511]
COMMIT
# Completed on Thu Feb 4 21:53:15 2010
# Generated by iptables-save v1.3.8 on Thu Feb 4 21:53:15 2010
*filter
:INPUT DROP [74:4239]
:FORWARD ACCEPT [54:3125]
:OUTPUT ACCEPT [6783:1650864]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i ppp1 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 30002 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30002 -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -m state --state INVALID -j logdrop
-A INPUT -i br0 -j MACS
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A FORWARD -i ppp1 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -o ppp1 -j ACCEPT
-A FORWARD -i br0 -j MACS
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --dport 411 -j DROP
...
<цепочка MACS - поскипана>
...
-A SECURITY -p udp -m udp --dport 30002:30254 -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu Feb 4 21:53:15 2010
Еще хорошо бы увидеть IP-адреса тех dns, которые выдаются клиенту.
Code:
PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.2
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.2.2
DNS-серверы . . . . . . . . . . . : 88.87.64.6
88.87.65.3
NetBIOS через TCP/IP. . . . . . . : отключен
Code:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
88.87.65.92 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
192.168.2.0 192.168.2.1 255.255.255.0 UG 0 0 0 ppp1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 88.87.65.92 0.0.0.0 UG 0 0 0 ppp0
Если это что-то даст, приведу листинг файла опций для соединения ppp1:
Code:
[admin@mapseam root]$ cat /tmp/ppp/options.usb.acm.0
115200
#nolog
debug
lock
silent
persist
maxfail 0
modem
crtscts
mru 296
login
auth
show-password
-chap
+pap
192.168.2.1:192.168.2.2
netmask 255.255.255.0
ms-dns 88.87.64.6
ms-dns 88.87.65.3
nodefaultroute
unit 1
init "/usr/sbin/chat -s -V -t 10 -f /tmp/ppp/peers/init.chat"
connect "/usr/sbin/chat -s -V -t 10 -f /tmp/ppp/peers/conn.chat"
disconnect "/usr/sbin/chat -s -V -t 20 -f /tmp/ppp/peers/disconn.chat"
ip-up-script /tmp/ppp/peers/ip-up.sh
ip-down-script /tmp/ppp/peers/ip-down.sh
nomppe nomppc
noaccomp
nopcomp
По тексту видно, какие IP-адреса я задаю интерфейсу и клиенту, как сообщаю клиенту адреса DNS. Кстати, странно, что у клиента гейтом является он сам (см. листинг "PPP адаптер"), да и маска у него не та, что я ему передаю: 255.255.255.255, а не 255.255.255.0
P.S. Маршрут для 192.168.2.0/24 я добавляю автоматически через скрипт /tmp/ppp/peers/ip-up.sh, а удаляю - тоже автоматом через /tmp/ppp/peers/ip-down.sh