aksel писал(а):Я же говорю что если не авторизовываться через abills то зайти можно
Так вот. Злой я был, задолбали сегодня
Первый час ночи, а я ни в одном глазу
Когда ты гришь "не через абиллс" ты имешь ввиду напрямую через изернет? А когда "через абиллс" то через ппп? Так в этом же и надо причину искать... А то абиллс... абиллс...
Так вот. Заходят через ппп а уходят дальше через изернет? А то, что на интерфейсах ппп и изернет MTU разные, ты учитываешь? И то, что пакет, приходящий из инета (через изернет), и маршрутизируемый на усера (через ппп) фрагментировать придётся? А фрагментировать можно будет только, если отправитель не установил в заголовке флаг запрета фрагментации!
Большинство хостов при установлении TCP соединения пытаются определить так называемое PMTU - Path Maximal Transfer Unit - максимальный размер пакета, который будет ходить на маршруте между ними ГАРАНТИРОВАННО без фрагментации. Для этого есть механизмы углубляться не буду а то я тебе и до утра не расскажу... В твоём случае всё зависит от многих факторов: приватный или публичный адрес на внешнем изернете, не криво ли настроено ядро в плане формирования ICMP пакетов "Fragmentation Needed" от твоего провайдера и тд и тп...
Но есть один универсальный способ борьбы с этой ситуёвиной. В заголовке TCP есть специальное поле MSS - Maximal Segment Size. Так вот. Надо в транзитных SYN пакетах, проходящих через твой рутер, принудительно устанавливать это поле в величину, не превышающую минимального MTU двух твоих интерфейсов, через которые проходит пакет! В линухе это делается одним правилом iptables:
iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Правило должно быть первым в цепочке форвард. Есть ли нечто подобное во фре - не знаю. Думаю, что есть.
Ладно хватит ликбезом заниматься мне ещё пахать и пахать
Вощем гугли... и изучай матчасть
И если старшие грят - абиллс ни причём -
значит ни причём! 
Буду копать тогда.