Проброс порта из интернета в pptp

[sasa1978]

Здраствуйте. Хочу управлять вебмордой зухеля, который находится за натом присоединив его по VPN к асусу, у которого белый IP , но у меня это не получается.

Делаю следующее. Настройки зухеля:

z1.jpg

z2.jpg

z3.jpg

[Zyxmon]

И какоe отношение это имеет к linux?

[sasa1978]

Хорошо, можно переместить ветку в нужный форум?

[sasa1978]

Настройки на стороне сервера:

as1.jpg

as2.jpg

as3.jpg

iptables-save

 

# Generated by iptables-save v1.4.14 on Tue Apr 11 18:15:42 2017
*raw
REROUTING ACCEPT [14051215:3626403131]
:OUTPUT ACCEPT [14047839:8777504098]
COMMIT
# Completed on Tue Apr 11 18:15:42 2017
# Generated by iptables-save v1.4.14 on Tue Apr 11 18:15:42 2017
*nat
REROUTING ACCEPT [950:124010]
:INPUT ACCEPT [972:124707]
:OUTPUT ACCEPT [10:1273]
OSTROUTING ACCEPT [10:1273]
NSFILTER - [0:0]
:LOCALSRV - [0:0]
CREDIRECT - [0:0]
UPNP - [0:0]
:VSERVER - [0:0]
:VUPNP - [0:0]
-A PREROUTING -d 176.195.50.192/32 -j VSERVER
-A POSTROUTING ! -s 176.195.50.192/32 -o eth0 -j MASQUERADE
-A POSTROUTING -m mark --mark 0x8000/0x8000 -j MASQUERADE
-A POSTROUTING -o ppp10 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.1:443
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:80
-A VSERVER -j VUPNP
-A VUPNP -p udp -m udp --dport 58519 -j DNAT --to-destination 192.168.1.244:58519
COMMIT
# Completed on Tue Apr 11 18:15:42 2017
# Generated by iptables-save v1.4.14 on Tue Apr 11 18:15:42 2017
*mangle
REROUTING ACCEPT [32908:6944601]
:INPUT ACCEPT [32829:6940325]
:FORWARD ACCEPT [77:4118]
:OUTPUT ACCEPT [39024:28078496]
OSTROUTING ACCEPT [39109:28083280]
-A PREROUTING -d 176.195.50.192/32 ! -i eth0 -j MARK --set-xmark 0x8000/0x8000
COMMIT
# Completed on Tue Apr 11 18:15:42 2017
# Generated by iptables-save v1.4.14 on Tue Apr 11 18:15:42 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [38805:28021478]
:FUPNP - [0:0]
:NSFW - [0:0]
Controls - [0:0]
:SECURITY - [0:0]
:SSHBFP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 9091 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m conntrack --ctstate DNAT -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 2000 -m state --state NEW -j SSHBFP
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o eth0 -j DROP
-A FORWARD -i eth0 -m state --state INVALID -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i eth0 -j SECURITY
-A FORWARD -j NSFW
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A FUPNP -d 192.168.1.244/32 -p udp -m udp --dport 58519 -j ACCEPT
-A PControls -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A SECURITY -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A SECURITY -p icmp -m icmp --icmp-type 8 -j DROP
-A SECURITY -j RETURN
-A SSHBFP -m recent --set --name SSH --rsource
-A SSHBFP -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A SSHBFP -j ACCEPT
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT

Свернуть

route

 

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
176.195.0.1 * 255.255.255.255 UH 0 0 0 eth0
192.168.10.2 * 255.255.255.255 UH 0 0 0 ppp10
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
192.168.0.0 * 255.255.255.0 U 0 0 0 ppp10
176.195.0.0 * 255.255.192.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default ip-176-195-0-1. 0.0.0.0 UG 0 0 0 eth0

Свернуть

После всех этих настроек я имею следущий результат:

Код: Выделить всё

listening on ppp10, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
15:32:54.693717 IP 192.168.1.1.53067 > 192.168.0.1.80: Flags [S], seq 3016885846, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
15:32:54.698949 IP 192.168.0.1.80 > 192.168.1.1.53067: Flags [S.], seq 2762722198, ack 3016885847, win 5440, options [mss 1360,nop,nop,sackOK,nop,wscale 6], length 0
15:32:54.702015 IP 192.168.1.1.53067 > 192.168.0.1.80: Flags [.], ack 1, win 4420, length 0
15:32:54.703236 IP0 bad-hlen 0
15:32:54.995195 IP0 bad-hlen 0
15:32:55.595801 IP0 bad-hlen 0
15:32:55.727578 IP 192.168.0.1.80 > 192.168.1.1.53067: Flags [F.], seq 1, ack 1, win 85, length 0
15:32:55.730666 IP 192.168.1.1.53067 > 192.168.0.1.80: Flags [.], ack 2, win 4420, length 0
15:32:55.731018 IP 192.168.1.1.53067 > 192.168.0.1.80: Flags [F.], seq 1264, ack 2, win 4420, length 0
15:32:55.736007 IP 192.168.0.1.80 > 192.168.1.1.53067: Flags [R], seq 2762722200, win 0, length 0

ppp интерфейс просто дропает пакеты, которые имеют ненулевую длину. На стороне зухеля ничего не видно. Можно ли как нибудь решить эту проблему?

[sasa1978]

Решил проблему в итоге программой socat, которая делает портфорвардинг в обход iptables