| alive_corpse |
26-11-2009 12:13 1280241 |
Проблема с доступом к портам через VPN
Существует сервер (Debian), одним интерфейсом (192.168.23.1) смотрящий в сеть 192.168.23.0/24. На машинах этой подсети он прописан шлюзом.
Так же к серверу через VPN подключается удалённая машина. Сервер выдаёт ей адрес 192.168.200.5, и в качестве шлюза ставит свой адрес 192.168.200.1.
Задача: сделать так, чтобы машина 192.168.200.5, подключившаяся по VPN могла видеть только хост 192.168.23.203, а её саму со стороны подсети 192.168.23.0/24 было видно всем желающим.
Настройки iptables:
monitor:/etc/ppp# iptables-save | grep 192.168.200
-A FORWARD -s 192.168.23.0/255.255.255.0 -d 192.168.200.5 -j ACCEPT
-A FORWARD -s 192.168.200.5 -d 192.168.23.203 -j ACCEPT
С удалённой машины всё замечательно, они к хосту 192.168.23.203 подключаются и работают с ним. А со своей стороны я не могу подключиться к их машине на порт 3389 из подсети 192.168.23.0/24 хотя с сервера захожу без проблем. Далее ряд экспериментов:
Код:
Удачное подключение телнетом с сервера:
12:52:43.728078 IP 192.168.200.1.45725 > 192.168.200.5.3389: S 1440424809:1440424809(0) win 5424 <mss 1356,sackOK,timestamp 3933586520 0,nop,wscale 4>
12:52:43.732462 IP 192.168.200.5.3389 > 192.168.200.1.45725: S 2184390788:2184390788(0) ack 1440424810 win 16384 <mss 1360,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
12:52:43.732495 IP 192.168.200.1.45725 > 192.168.200.5.3389: . ack 1 win 339 <nop,nop,timestamp 3933586521 0>
Неудачная попытка подключения из локалки (не смотря на то, что пакеты идут в обе стороны):
12:54:41.047756 IP 192.168.23.181.44050 > 192.168.200.5.3389: S 3534536324:3534536324(0) win 5840 <mss 1356,sackOK,timestamp 951888752 0,nop,wscale 6>
12:54:41.068635 IP 192.168.200.5.3389 > 192.168.23.181.44050: S 884095501:884095501(0) ack 3534536325 win 16384 <mss 1360,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
12:54:43.990083 IP 192.168.200.5.3389 > 192.168.23.181.44050: S 884095501:884095501(0) ack 3534536325 win 16384 <mss 1360,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
12:54:44.047154 IP 192.168.23.181.44050 > 192.168.200.5.3389: S 3534536324:3534536324(0) win 5840 <mss 1356,sackOK,timestamp 951889502 0,nop,wscale 6>
12:54:50.049135 IP 192.168.23.181.44050 > 192.168.200.5.3389: S 3534536324:3534536324(0) win 5840 <mss 1356,sackOK,timestamp 951891002 0,nop,wscale 6>
12:54:50.557651 IP 192.168.200.5.3389 > 192.168.23.181.44050: S 884095501:884095501(0) ack 3534536325 win 16384 <mss 1360,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
И так до таймаута.
Одинокий пинг проходит хорошо из 23-ей подсети:
12:59:08.599702 IP 192.168.23.181 > 192.168.200.5: ICMP echo request, id 3359, seq 1, length 64
12:59:08.604951 IP 192.168.200.5 > 192.168.23.181: ICMP echo reply, id 3359, seq 1, length 64
На удалённой машине стоит Windows и Symantec. В Symantec'е подсети 192.168.200.0/24 и 192.168.23.0/24 внесены в список исключений. При остановке антивируса/файрвола проблема сохраняется в вышеописанном виде.
Вопрос - в чём может быть проблема? |
