доступ в инет через pppoe

[scorax]

Рабочий комп (win) 10.0.0.2 находится за FW (linux).
FW имеет интерфейсы eth0 10.0.0.1 и eth1 192.168.1.150 (второй смотрит в локальную сеть)

на FW - PPPoE client (rp-pppoe) устанавливает соединение ppp0 с провайдером через eth1. (и с FW удаленные хосты доступны, инет работает)

Какие правила нужно добавить в iptables для того чтобы win-комп 10.0.0.2 мог в инет ходить через FW?

Притом для win-компа 10.0.0.2 уже есть правило SNAT (все порты на все хосты) в локальную сеть он может ходить. И ip_forward - включен.

И второй вопрос. Как настроить правила на FW (какие правила добавить) что бы можно было устанавливать PPPoE соединение с WINдовой машины 10.0.0.2 (если WINдовую машину подключать напрямую без FW, pppoe соединение с нее работает без проблем). Может какието модули ip_contrak ченеть из них подгрузить? или ip_gre?

Я начинающий поэтому сильно не пинайте.. Поискал по форуму ничего не нашел.

[vidok]

http://www.opennet.ru/docs/RUS/iptables/ - почитай про FORWARD (там примеры есть) я недавно сам по нему подобный вопрос решал
а как у тебя подключен модем? он напрямую в FW идёт?
тоесть ты хочешь запускать c виндовой машины pppoe на линухе?

[scorax]

я подправил вопрос, может что не так написал.
НЕТ pppoe стартуется с FW, нужно чтобы компьютер находящийся за FW получал Интернет трафик с FW.
незнаю может не так выражаюсь, не фаервол а скорей Шлюз.
Вообщем мой провайдер в локальной домашней сети предоставляет мне инет по средствам pppoe. а я уже могу и с Виндовой машины устанавливать соединение и на линухе клиент настроить и устанавливать соед.
схема простая:

desktop--------- FW (шлюз)-------------------------провайдер (PPPoE сервер)
10.0.0.2 <-> 10.0.0.1, 192.168.1.150 <-л. сетка-->192.168.1.253 --------------> INET


а второй вопрос это pppoe стартуется с DESKTOP и нужно чтобы FW пропускал трафик. при этом desktop в сетку доступ имеет все остальное работает, но pppoe трафик не проходит.

[Mixer[MsK]]

Я поднимал pppoe через rp-ppoe.
NAT работает после добавления правила
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

[vidok]

а второй вопрос это pppoe стартуется с DESKTOP  и нужно чтобы FW пропускал трафик. при этом desktop в сетку доступ имеет все остальное работает, но pppoe трафик не проходит.

↑

- это я вообще не понял
1 включаем ip_forward
2 соответственно настраиваем pppoe на шлюзе
3 в iptables пишем чтото типа этого
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (как уже писал Mixer[MsK])

4 если надо соединение запускать с виндовой машины я обычно подключаюсь с помощью ssh и запускаю его (естественно надо на шлюзе поднять сервер ssh)
клиенты ssh под винду (к примеру):
http://www.freesoft.ru/search.html?terms=s...t=0&page=search
чтобы на шлюз тебя пускали надо прописать в iptables (если у тебя iptables -P INPUT DROP)
iptables -A INPUT -s ip_desktop --dport 22 -j ACCEPT
ну или чтото типа этого
детально настройки iptables ты можешь прочитать в ссылке в первом моём сообщении
надеюсь я правильно понял что тебе надо было

[Mixer[MsK]]

А почему бы не держать pppoe-тунель постоянно?Я вот один раз его поднял и неделю уже его не трогаю Вписал в автозапуск и радуюсь жизни.

[scorax]

Спасибо. вот сейчас по первому вопросу более понятно буду вечером делать.

А второй вопрос так и не понил. Еще раз попробую объяснить что нужно:
Если на WIN машине настрою PPPoE клиент и подключю к локальной сети на прямую БЕЗ Firewall и попытаюсь соединиться с провайдером - соединение установится без проблем и я попаду в интернет.
А если между машиной Windows и локальной сеткой поставлю машину FW с Linux и буду пытаться на WIN машине установить соединение pppoe с провайдером - оно не установится. При том WIN машине доступна локальная сеть, на FW в iptables для WIN'компа есть SNAT правило, разрешающее вылезать в ЛС.
И вопрос такой соответсвенно что нужно настроить чтобы pppoe-шный трафик c WIN машины проходил без препятствий через FW и попадал на провайдера - pppoe сервер и устанавливалось соединение, был доступен интернет.

Ну на примере VPN, что бы по VPN соединитиься c Windows машины через FW на какойнить удаленный хост с VPN сервером нужно создать правило SNAT и по порту 1723 открыть исходящее. и подгрузить модуль ip_gre.
А вот что нужно для pppoe я не знаю?

[Mixer[MsK]]

Теперь я не понимаю Если ты настраиваешь на FW NAT и VPN, зачем тебе конектиться в обход него?Почему бы просто не ходить в инет через этот самый NAT?Или у FW не постоянный uptime?

[scorax]

ну я не знаю как еще объяснить.
Пусть допустим будет не одна WIN машина за FW а их 5 штук, сеть 10.0.0.0. и на каждой Win машине есть ярлык на запуск pppoe соединение и на каждом логины пароли разные. и теперь эту подсетку состоящуюю из 5 машин выпускаю в локальную сеть 192.168.0.0 через FW . И в этой стоит сервак pppoe 192.168.0.50.

Мне нужно чтобы с каждой из 5-ти WIN машин из 10.0.0.0 можно было запустить ярлычок соединенния pppoe
и подсоединиться к 192.168.0.50, чтобы все соединялись одновременно под разными учетками. А на FW ничего нету он просто шлюз, но надо что бы пропускал.
VPN я привел в пример из-за схожести. ДЛя gre нужно подгуружать модуль ip
_gre чтобы FW пропускал трафик гарэешный. А вот что с PppoE? Он почемуто блокируется.

[apple]

а можно на fw бридж сделать и вин комп можно будет устанавливеть пппое соединение напрямую к серву
а так как бридж работает на уровне L2 он пропустит все пакеты в том числе и пппое