Звоним через xl2tpd.Конфиги: cat /etc/xl2tpd/xl2tpd.conf [global]acces

1. Звоним через xl2tpd.
2. Конфиги:
3.  
4. cat /etc/xl2tpd/xl2tpd.conf
5. [global]
6. access control = yes
7.  
8.  
9. [lac akado]
10. name = (тут пишем свой логин)
11. lns = vpn.akado-ural.ru
12. pppoptfile = /etc/ppp/peers/vpn
13. ppp debug = yes
14. autodial = yes
15.  
16. ---------------
17.  
18. cat /etc/ppp/peers/vpn
19. remotename L2TP
20. user "(снова логин)"
21. password "(тут пишем свой пасс к VPN)"
22. unit 0
23. lock
24. usepeerdns
25. nodeflate
26. nobsdcomp
27. noauth
28. persist
29. nopcomp
30. noaccomp
31. defaultroute
32. maxfail 10
33. debug
34. logfile /var/log/syslog
35.  
36. ----------------------
37.  
38. Этого должно быть достаточно, но работать пока ещё ничего не будет, нужно настроть route:
39. route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
40.  
41. И добавить NAT:
42.  
43.  
44. cat ./nat.sh
45. #!/bin/sh
46. iptables -F
47. iptables -t nat -F
48.  
49.  
50. route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.2.4.3
51.  
52.  
53. #Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
54. iptables -P INPUT ACCEPT
55. iptables -P OUTPUT ACCEPT
56. iptables -P FORWARD DROP
57.  
58.  
59. #Скопируйте и вставьте для примера...
60. export LAN=eth0
61. export WAN=eth1
62. export INET=ppp0
63.  
64.  
65. #Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
66. iptables -I INPUT 1 -i ${LAN} -j ACCEPT
67. iptables -I INPUT 1 -i lo -j ACCEPT
68. iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
69. iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
70.  
71.  
72. #(Необязательно) Разрешаем доступ к нашему ssh-серверу из интернета
73. # iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
74.  
75.  
76. #Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
77. iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
78. iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
79.  
80.  
81. #В конце добавляем правила для NAT
82. iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
83. iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
84. iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
85. #iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
86. iptables -A FORWARD -i ${INET} -d 192.168.0.0/255.255.0.0 -j ACCEPT
87. iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
88. iptables -t nat -A POSTROUTING -o ${INET} -j MASQUERADE
89.  
90.  
91. iptables -t nat -A PREROUTING -i ${WAN} -p tcp -m tcp --dport 3000 -j DNAT --to-destination 192.168.0.100:3000
92. iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3000 -j ACCEPT
93.  
94.  
95. iptables -t nat -A PREROUTING -i ${WAN} -p udp -m udp --dport 3001 -j DNAT --to-destination 192.168.0.100:3001
96. iptables -A INPUT -i ${WAN} -p tcp -m tcp --dport 3001 -j ACCEPT
97.  
98.  
99.  
100. #Сообщаем ядру, что ip-форвардинг разрешен
101. echo 1 > /proc/sys/net/ipv4/ip_forward
102. for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done