routing trouble NEED HelP

[eox425]

Privet vsem i prostite za runglish.
Tak vot stavlyu ya abills. Aythentifikacia ms-chapv2 i mppe128 prohodyat norm.
Sosedniy interfeys pinguetsya. Forwarding vklyuchen.
Po idee default route na vinde kotoraya konectitsya k servaky est' Ip ppp+ soedineniya so storonu servaka.
Vot tol'ko neta nety...
Chto delat' che pisat' v route ???
Ili mojet nado SNAT + markirovka paketov + routing cherez iproute2 ???
Podskajute pojalysta.

I ishe raz prostite za runglish.

[lasik]

Это называется транслейт.


В студию рс.конф, ррр.конф, тип соединения, а то я не понял, и настройки вашего файрвола, а еще что радиус говорит, то же покажи

Но 100 % что дело в фарволе на серваке.

[eox425]

options.pptpd

plugin radius.so
plugin radattr.so
logfile /var/log/pptpd
debug
ms-dns 38.0.1.1
require-mschap
require-mppe
refuse-chap
refuse-pap


Iptables rules

*nat
:PREROUTING ACCEPT [127173:7033011]
:POSTROUTING ACCEPT [31583:2332178]
:OUTPUT ACCEPT [32021:2375633]
-A POSTROUTING -o ppp+ -j SNAT --to-source 38.0.1.2
-A PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination 38.0.1.1:53
COMMIT

*mangle
:PREROUTING ACCEPT [444:43563]
:INPUT ACCEPT [444:43563]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [402:144198]
:POSTROUTING ACCEPT [402:144198]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A FORWARD -i ppp+ -j ACCEPT
-A PREROUTING -j TTL --ttl-set 64

COMMIT

*filter
:INPUT DROP [1:242]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:LOG_DROP - [0:0]
:LOG_ACCEPT - [0:0]
:icmp_packets - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j LOG_ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3124 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3724 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30000 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -j icmp_packets
-A INPUT -j LOG_DROP

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 43 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 7777 -j ACCEPT
-A OUTPUT -d 127.0.0.1 -j ACCEPT
-A OUTPUT -p icmp -j icmp_packets
-A OUTPUT -j LOG_DROP

-A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP] : " --log-tcp-options --log-ip-options
-A LOG_DROP -j DROP

-A LOG_ACCEPT -j LOG --log-prefix "[IPTABLES ACCEPT] : " --log-tcp-options --log-ip-options
-A LOG_ACCEPT -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A icmp_packets -s 38.0.0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
COMMIT

pptpd.conf

ppp /usr/sbin/pppd
option /etc/ppp/options.pptpd
noipparam
debug
localip 192.168.1.200

[eox425]

Znachit tak eshe... polnuy log Radiusa

rad_recv: Accounting-Request packet from host 127.0.0.1 port 40803, id=255, length=96
Acct-Session-Id = "49616F080D7401"
User-Name = "yura"
Acct-Status-Type = Start
Service-Type = Framed-User
Framed-Protocol = PPP
Acct-Authentic = RADIUS
NAS-Port-Type = Async
Framed-IP-Address = 192.168.1.1
NAS-IP-Address = 10.1.1.101
NAS-Port = 0
Acct-Delay-Time = 0
+- entering group preacct
++[preprocess] returns ok
Exec-Program output:
Exec-Program: returned: 0
++[acc] returns ok
+- entering group accounting
expand: /var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d -> /var/log/radius/radacct/127.0.0.1/detail-20090104
rlm_detail: /var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d expands to /var/log/radius/radacct/127.0.0.1/detail-20090104
expand: %t -> Sun Jan 4 18:23:04 2009
++[detail] returns ok
++[unix] returns ok
expand: /var/log/radius/radutmp -> /var/log/radius/radutmp
expand: %{User-Name} -> yura
++[radutmp] returns ok
expand: %{User-Name} -> yura
attr_filter: Matched entry DEFAULT at line 12
++[attr_filter.accounting_response] returns updated
Sending Accounting-Response of id 255 to 127.0.0.1 port 40803
Finished request 2.
Cleaning up request 2 ID 255 with timestamp +201
Going to the next request
Waking up in 2.4 seconds.
Cleaning up request 0 ID 253 with timestamp +198
Ready to process requests.

[eox425]

Znachit est' tri seti
38.0.0.X - vnutrenyaya
38.0.1.X - DMZ
192.168.1.X - pptp
Tak vot kak bu mne perenapravlyat' ves' traf s pptp cherez osnovnoy shlyuz 38.0.1.1?
+ DNS zaprosu na DNS 38.0.1.1 kak translirovat'? Cherez DNAT ?

+ problemka Radius poluchaet vsegda IP clienta 192.168.1.1 ot abills'a i masky 255.255.255.255 che mne s etim delat' delat' ?

THNX

[eox425]

Ya dumayu problema v etom ....

Config radiusa
modules {
exec auth {
program = "/usr/abills/libexec/rauth.pl pre_auth"
wait = yes
input_pairs = request
output_pairs = config
}

exec acc {
program = "/usr/abills/libexec/racct.pl post_auth"
wait = yes
input_pairs = request
output_pairs = config
}

Config Sites-enabled/default

authorize {
preprocess
auth
mschap
files
}

authenticate {

Auth-Type MS-CHAP {
mschap
}
}

preacct {
preprocess
acc
}

/etc/raddb/users

DEFAULT Framed-Protocol == PPP
Framed-Protocol = PPP,
Framed-Compression = Van-Jacobson-TCP-IP

DEFAULT Auth-Type = Accept

Chto mne nado pomenyat' ?

[eox425]

Nu blin ....
Vulojil vse configu, a mne nichego i ne govoryat.
Nu pomogite pojaluysta.

Skajite hotya-bu kak perenaprevlyat' ves' traffic s interfacev pppX na eth0 s internetom
I kak prikrutit' TC k pppd ???

SIStema tipa <inet> -- <eth0> -- <serv> -- <pppX>
Mne nada sdelat' tak schtobu ves' traffic ishel vot tak

<inet> -- <eth0> -- <serv> -- <pppX>
#########|################|####
#########----------------------------####

I rabotal sheyper
V etc sysctrl forwarding vklyuchil.
Pravila firewall'a est' v postah vushe

Pomogite mne POJALYUYSTA.

Sorry FoR RuNGLISH Cuz I am using Linx and I am too lazy to set up X on the server.
I dont need it there.

[ran]

та нет дорогой... проблема в этом

Iptables rules

такого бреда я ещё никогда не встречал... САМ писал??? тогда по каждому правилу расскажи ЧТО же ты хотел ЭТИМ добиться??? вощем тебе для начала сюда и учить как завещал великий ленин...

особенно порадовал всевозможный дроп в таблице мангл.... да ещё и в прероутинг

[eox425]

особенно порадовал всевозможный дроп в таблице мангл.... да ещё и в прероутинг

nmap zatknetsya srazu.
Prosto ya ne znayu KAK no esli otpravlyat' pravila fil'tracii nmap-atstoya v tablicu FILTER nmap delaet footprint OS.
A mne etogo ne nado....
+ nekotorue flagi nmap v takom sluchae obhodyat voobshe Iptables

Lishnee...

-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

a vot eto tipa ot icmp fluda

-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

eto tipa otkruvaem portu delaem LOG dropa + perehodim k tsepochke ICMP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j LOG_ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3124 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3724 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30000 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -j icmp_packets
-A INPUT -j LOG_DROP

eto tipa otkruvaem portu na vuhod delaem LOG dropa + perehodim k tsepochke ICMP

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 43 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 7777 -j ACCEPT
-A OUTPUT -d 127.0.0.1 -j ACCEPT
-A OUTPUT -p icmp -j icmp_packets
-A OUTPUT -j LOG_DROP

Log dropa log accepta + tablica icmp fil'tracii

-A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP] : " --log-tcp-options --log-ip-options
-A LOG_DROP -j DROP

-A LOG_ACCEPT -j LOG --log-prefix "[IPTABLES ACCEPT] : " --log-tcp-options --log-ip-options
-A LOG_ACCEPT -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A icmp_packets -s 38.0.0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

Menya interesuet vot eto

-A POSTROUTING -o ppp+ -j SNAT --to-source 38.0.1.2
-A PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination 38.0.1.1:53

i vot eto

-A FORWARD -i ppp+ -j ACCEPT

Tut ya hotel chto-bu prohodil SNAT s interfeisov ppp
Razreshal s nih forward
i perenapravlyal DNS zaprosu na 38.0.1.1

Menya interesuet opredelenie napravleniya paketa
Kak perenapravlyat' paketu s ppp+ na eth gde vuhod paketov
A imenno chto nado delat' s iproute2 ili prostum route?

Это называется транслейт.

Chto eto takoe???

I ishe raz prostite za runglish.

[NiTr0]

Коротко:

-A POSTROUTING -o ppp+ -j SNAT --to-source 38.0.1.2

бред, ибо пакеты, которые , получается, идут к пользователям - перенаправляются на 38.0.1.2

-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP

Зачем их в mangle пихать-то?

A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

Перечислить порты через запятую религия не позволяет?

Ну и остальное в этом же духе..

[ran]

не говоря уже об ватетом:

*mangle
...
-A FORWARD -i ppp+ -j ACCEPT
...
*filter
...
:FORWARD DROP [0:0]

мой тебе совет: выбрось каку изучи иптеблс и напиши с 0 по-простому без извращений чтобы заработало... а извращения при желании и потом можно добавить если сильно скучно будет