Re: Инет шлюз на ковчег сервер (PPPOE) не пускает лок. компы в Интернет (Решено)

[kan]

Настраиваю уже второй шлюз на ковчег-сервер.
С первым все прошло как по маслу. (squid, привязка по MAC, rejik, DHCP).
Со вторым (в другой конторе) уже неделю бодаюсь - не пускает клиентов в Интернет и все тут! (кстати пинги на www.mail.ru  с клиентов проходят :)).

В обоих случаях все стандартно и посредством альтераторов.
Из вопиюющих отличий между двумя серверами (кроме железа конечно) - первый идет в нет через ADSL в режиме маршрутизатора с NAT, а второй идет через от провайдера витая пара с PPPOE.
Так вот второй прекрасно сам попадает в инет, обновляется и прочее, а людей не пускает через себя (опять же пинги с клиентов в Нет идут!).


На вкладке "Внутренние сети" не стоит галочка "Включить ограничения....", т.е. изнутри пускает всех.
На вкладке "Внешние сети" - режим работы шлюзNAT, а вот выберите внешние интерфейсы я поставил только мой PPPOE интерфейс (он сидит на eth1, может и его тоже нада во внешние определить?)

Есть идеи, с чего начать раскручивать?

[Mario_z]

http://www.altlinux.org/Etcnet
http://www.altlinux.org/Etcnet_Firewall
http://www.altlinux.org/Etcnet_QoS
http://citforum.ru/operating_systems/linux/iptables/

[Salomatin]

Какое значение MTU ?
Если меньше 1500 то почитайте
http://forum.altlinux.org/index.php/topic,8042.msg109271.html#msg109271

[kan]

http://www.altlinux.org/Etcnet
http://www.altlinux.org/Etcnet_Firewall
http://www.altlinux.org/Etcnet_QoS
http://citforum.ru/operating_systems/linux/iptables/

Это я уже бегло просматривал, научился мак подменять и др.
Разные варианты mtu пробовал в /etc/net/iface/ppp1/pppoptions,
это пробовал #iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu,
проблема в том, что я сразу делал #servise network restart, что сбрасывает правило для iptables.

остановился вот на чем:
mtu НЕ пишу в /etc/net/iface/ppp1/pppoptions.
даю команду #iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu - все работает, соответственно - #servise network restart или перезагрузка и опять ничего не работает!

Товарищи, подскажите куда мне это равило прописать, чтобы оставалось после перезагрузке

[ruslandh]

В  /etc/net/ifaces/default/fw/iptables/mangle/FORWARD ?

[kan]

В  /etc/net/ifaces/default/fw/iptables/mangle/FORWARD ?

Вывод с правилом iptables

Код: [Выделить]

iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Это если в командной строке -  #iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu,
 а на "постоянку" в файл /etc/net/ifaces/default/fw/iptables/mangle/FORWARD чтобы "жило" после перезагрузки как вписать?
 так - "-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu" ?

Я почему тут, может очевидный(для гуру) вопрос написал, чтобы юный админ прочитав эту небольшую тему однозначно понял чем грозит и как бороться с PPPOE в ковчег-сервере (а может и не только в ковчеге).

Кстати, замена MTU на провайдерские 1476 в /etc/net/iface/ppp1/pppoptions , мне не помогла (хотя ping`и шли).

Ну и для окончательного прояснения ситуации, такой вопрос - почему правило "-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu"
не используется по умолчанию в дистрибутиве, ведь без него не может работать нормально обмен с провайдером? Или это костыль, а другие дистрибутивы "более pppoe`шные"?

[kan]

Все проверил, теперь PPPOE раздается в локалку без проблем, даже после перезагрузки.
Для этого добавил строчку в файл:
/etc/net/ifaces/default/fw/iptables/mangle/FORWARD

Код: [Выделить]

-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


[romario]

а у меня всеравно не работает, блин  ну чтоже это такое?
как через pppoe.conf MTU прописать?

[kan]

прошу прощения, я не скопировал!
нужно в pppoptions  /etc/net/ifaces/default/fw/iptables/mangle/FORWARD писать:

Код: [Выделить]

-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
тогда все заработает

[romario]

прошу прощения, я не скопировал!
нужно в pppoptions писать:

Код: [Выделить]

-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
тогда все заработает

не понял. куда нужно писать?
в iptables  я это правило прописал.

[ruslandh]

В /etc/net/ifaces/default/fw/iptables/mangle/FORWARD ?

[romario]

ну так я чето не понял в какие pppoptions нужно прописать строку?

[ruslandh]

ну так я чето не понял в какие pppoptions нужно прописать строку?

вроде эта строка никак к pppoptions не относится.

[kan]

че та я хотел ошибку исправить, а получилось, что еще больше запутал :)
правило, что бы pppoe нормально работало нужно прописать в файл /etc/net/ifaces/default/fw/iptables/mangle/FORWARD такую строчку:

Код: [Выделить]

-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
это не относится к интерфейсу ppp1 напрямую, но из-за отсутствия этой строчки сервак не раздает на клиентов инет.(у меня, по крайней мере,  зависимость - 100%)

[kan]

С этой строчкой все отлично работает, но возникла новая проблема - при малейшем телодвижении в админке файл mangle\forward обнуляется, что делать?