Фаервол (с ядерным натом)
Код: Выделить всё
#!/bin/sh
fwcmd="/sbin/ipfw"
iif="vr0"
eif="vr1"
iip="192.168.1.3"
eip="192.168.0.111"
ilocal="192.168.1.0/24"
#_______________________________________________________________________________
${fwcmd} -f flush
${fwcmd} add check-state
#DENY
#${fwcmd} add deny tcp from any to any 110 via ${eif}
#RULE
${fwcmd} add allow tcp from ${eip} to any 22,25,80,110 via ${eif}
${fwcmd} add allow all from any to any via lo0
#SQUID
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ilocal} to any dst-port 80 via ${iif}
#DENY LOCAL FROM OUT
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
#PING
${fwcmd} add allow icmp from any to any in via ${eif} icmptypes 0,3,8,11
${fwcmd} add allow icmp from any to any out via ${eif}
${fwcmd} add allow icmp from any to any via ${iif}
#DENY ZAREZ IP
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${eif}
${fwcmd} add deny ip from any to 224.0.0.0/4 in via ${eif}
${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${eif}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${eif}
#LOCAL
${fwcmd} add allow tcp from ${ilocal} to any via ${iif}
#NAT
#${fwcmd} nat 1 config if ${eif}
#${fwcmd} add nat 1 ip4 from any to any via ${eif}
#NAT REDIRECT
${fwcmd} nat 1 config if ${eif} log redirect_port all 192.168.1.9:1723 1723
${fwcmd} add nat 1 tcp from any to ${eip} 1723 via ${eif}
${fwcmd} add allow tcp from any to 192.168.1.9 1723 via ${iif}
${fwcmd} nat 2 config if ${eif}
${fwcmd} add nat 2 ip4 from any to any via ${eif}
Связь между VPN-сервером и VPN-клиентом 193.26.13.41 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком.
Тспдампом проверял 1723 порт на внутренем и внешнем интерфейсе.Пакеты проходят.Может кто знает в чом проблема.
По локалке захожу нормально.