[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

nat altalenante

'ciao a tutti :-)

di nuovo ho uno strano problema (!)

non so perchè, ogni tanto, alcuni siti mi vanno in timeout.. da qualsiasi 
client connesso al server.

Gli stessi siti dal server vanno, quindi il problema è qualcosa tipo nat (i 
client hanno le impostazioni ip,route e dns corrette)

Sul server le impostazioni sono queste:

#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

ppp0 è il modem in pppoeconf, eth1 è l'interfaccia connessa al modem, eth2 è 
la lan.

firewall:

#!/bin/sh
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -A INPUT -f -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -f -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.1.0/24 -j 
ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT

# PING
iptables -A INPUT -i ppp0 -p icmp -j ACCEPT
iptables -A INPUT -i eth2 -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

-----------------
# in occasionali problemi aggiungevo queste regole
#iptables -o ppp0 --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss 
--mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#iptables -o eth1 --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss 
--mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#iptables -o ppp2 --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss 
--mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

[...]
le regole per aprite/forwardare le porte
[...]

grazie 1000 per l'aiuto! :)

Pol
Reply to: