Задать вопрос
@sharkirill

АП Континент + IPTables?

Здравствуйте! Кто настраивал связку АП Континент (для доступа к СУФД) + IPTables вопрос к вам. Возникла проблема при подключение пользователей к АП Континент через прокси-сервер на CentOS 7 с настроенными squid + iptables. На squid заворачивается трафик по 80 и 443 портам, остальной трафик блокируется. Для работы АП Континент созданы следующие разрешающие правила в iptables:
*filter
-A FORWARD -s 82.119.129.210 -d 10.10.11.192/27 -i eth0 -o tun0 -p udp --sport 4433 -j ACCEPT
-A FORWARD -d 82.119.129.210 -s 10.10.11.192/27 -o eth0 -i tun0 -p udp --dport 4433 -j ACCEPT
-A FORWARD -s 82.119.129.210 -d 10.10.12.192/27 -i eth0 -o tun1 -p udp --sport 4433 -j ACCEPT
-A FORWARD -d 82.119.129.210 -s 10.10.12.192/27 -o eth0 -i tun1 -p udp --dport 4433 -j ACCEPT
-A FORWARD -s 82.119.129.210 -d 10.10.13.192/27 -i eth0 -o tun2 -p udp --sport 4433 -j ACCEPT
-A FORWARD -d 82.119.129.210 -s 10.10.13.192/27 -o eth0 -i tun2 -p udp --dport 4433 -j ACCEPT
*nat
-A POSTROUTING -o eth0 -p udp --dport 4433 -d 82.119.129.210 -s 10.10.11.192/27 -j MASQUERADE
-A POSTROUTING -o eth0 -p udp --dport 4433 -d 82.119.129.210 -s 10.10.12.192/27 -j MASQUERADE
-A POSTROUTING -o eth0 -p udp --dport 4433 -d 82.119.129.210 -s 10.10.13.192/27 -j MASQUERADE

при такой конфигурации соединение устанавливается через раз, может работать, потом 10 подключений быть ошибка на этапе аутентификации, потом без изменений конфигурации iptables снова заработать. А если подключить напрямую к маршрутизатору провайдера с настроенным nat, то подключается сразу и без проблем.
Достаточно ли открытого 4433 udp порта на белый адрес АП Континент, при учете, что порты источника не блокируются? И возможна ли корректная работа нескольких клиентов АП Континент за одним прокси-сервером?
Что пробовали - звонить оператору АП Континент, не помогло, "у нас все настроено правильно, смотрите ваше оборудование", занижать MTU до 1400, не помогло, открывать все порты до АП Континент, не помогло.
  • Вопрос задан
  • 1200 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
что-то я сомневаюсь что там udp

дело не имел с этим так что первая линия диагностики:
в первой консоли
tcpdump -i tun0 -vnn host 82.119.129.210 -c 1000
во второй консоли
tcpdump -i eth0 -vnn host 82.119.129.210 -c 1000
делаете что-нить что должно долететь до 82.119.129.210 и находящееся за tun0
смотрите что долетело до маршрутизатора в первой
что улетело после во второй тут же что вернулось
и снова в первой полетело ли то что вернулось на туда куда надо
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы