<html>

  <head>

    <meta content="text/html; charset=KOI8-R" http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">05.07.2013 10:03, Vladislav Y Gusev

      wrote:<br>

    </div>

    <blockquote

cite="mid:OFF0BDCCEC.6FA42024-ON44257B9F.0026C26A-44257B9F.0026CA4E@smpbank.ru"

      type="cite"><font face="Courier New" size="2">День добрый!</font>

      <br>

      <br>

      <font face="Courier New" size="2">Не подскажете по iptables?</font>

      <br>

      <font face="Courier New" size="2">Не удаётся наладить

        нормальную работу одной железяки за натом.</font>

      <br>

      <font face="Courier New" size="2">Железяке нужен неограниченных

        доступ к определённому хосту в сети Интернет,

        с которым устройство поднимает защищённого

        ipsec-соединение.</font>

      <br>

      <font face="Courier New" size="2">Обычно в подобных случаях

        я добавлял правило в таблицу filter/FORWARD вида

        "-i eth1 -o eth0 -s &lt;внутр.адрес железяки&gt;

        -d &lt;хост в сети Интернет&gt; -j ACCEPT"</font>

      <br>

      <font face="Courier New" size="2">И это всегда работало.

        Всё работало поначалу и с этим устройством,

        а потом вдруг начались проблемы: разрывы

        сессии, невозможность соединиться с хостом...</font>

      <br>

      <font face="Courier New" size="2">При включении устройства

        напрямую мимо ната в шлюз провайдера с

        выделением отдельного "белого" ip-адреса

        устройство работает идеально.</font>

      <br>

      <font face="Courier New" size="2">При работе за аппаратным

        натом (примитивный роутер tp-link) - тоже никаких

        проблем.</font>

      <br>

      <font face="Courier New" size="2">А вот через linux-шлюз

        работать не получается.</font>

      <br>

      <font face="Courier New" size="2">Если добавить аналогичное

        правило только с "-j LOG", то видно, что

        правило срабатывает и пакеты отправляются.</font>

      <br>

      <font face="Courier New" size="2">Jul  2 18:17:27 alt-serv kernel:

        IN=eth1 OUT=eth0 SRC=192.168.153.250 DST=&lt;host&gt; LEN=33

        TOS=0x00 PREC=0xC0

        TTL=254 ID=51 PROTO=UDP SPT=4500 DPT=4500 LEN=13</font>

      <br>

      <br>

      <font face="Courier New" size="2">Не подскажите, в чём

        может быть загвоздка? Я даже не пойму, в

        какую сторону смотреть.</font>

      <br>

      <font face="Courier New" size="2">Особенно сбивает с

        толку, что устройство нормально проработало

        за iptables почти месяц, а теперь ни в какую...</font>

      <br>

    </blockquote>

    Для лучшего понимания не плохо бы увидать вывод команд:<br>

    <br>

    # ip a<br>

    <br>

    #iptables -L -n -v<br>

    <br>

    #iptables -L -n -v -t nat<br>

    <br>

    и указать адреса "железяки" и "хост в сети Интернет"<br>

    <br>

    <pre class="moz-signature" cols="72">-- 

WBR,

Viacheslav Dubrovskyi</pre>

  </body>

</html>