. (either) wrote in ru_root,
.
either
ru_root

банк-клиент через шлюз с iptables (решено)

Здравствуйте.
Проблема - в онлайновом банк-клиенте работают все функции кроме загрузки файла. Клиент работает в IE под Windows XP. Загрузка файла - стандартные кнопки "обзор" и "загрузить". После нажатия на "загрузить" браузер задумывается минуты на 3-4, потом выдает "не удается отобразить страницу". При этом после данной ошибки все остальные действия в банк-клиенте можно выполнять как и до попытки загрузки.

Все это имеет место, если пустить клиента через линукс-шлюз. Если пустить клиент через резервный, кривущий wifi линк с Kerio Winroute и двумя-тремя дэлинками по дороге к провайдеру - все работает, хоть и медленно.

Клиент работает по 63332 порту, в керио он открыт отдельным правилом, но вряд ли это относится к делу.

Смутно знакомые грабли, но я их определенно забыл. Изучаю, как загнать в логи дропнутые по default policy пакеты, что-то должно проясниться. Но может у кого готовый хинт есть? Спасибо.

Детали настроек под катом.


РЕШЕНИЕ:
$IPT -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300


#uname -a
Linux uno 2.6.24-19-server #1 SMP Sat Jul 12 00:40:01 UTC 2008 i686 GNU/Linux

iptables

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# DEFAULT POLICY
$IPT -P INPUT DROP
$IPT -P FORWARD DROP LOG --log-level debug
$IPT -P OUTPUT DROP LOG --log-level debug
$IPT -A INPUT -p ALL -i $LOOPBACK -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LOOPBACK -j ACCEPT

$IPT -t nat -A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
$IPT -t nat -A POSTROUTING -o $EXT_INT -j MASQUERADE

# access from local net
$IPT -A INPUT -i $INT_INT --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $INT_INT --destination 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#forwarding from int net to ext net
$IPT -A FORWARD -i $INT_INT --source 192.168.0.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $EXT_INT --destination 192.168.0.0/24 --match state --state ESTABLISHED -j ACCEPT

# allow firewall to ext net
$IPT -A OUTPUT --source $EXT_IP --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $EXT_INT --destination $EXT_IP --match state --state ESTABLISHED -j ACCEPT


ifconfig на шлюзе
eth0 - локалка, eth1 - к adsl модему

eth0 Link encap:Ethernet HWaddr 00:0c:6e:11:9b:fb
inet addr:192.168.0.3 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:6eff:fe11:9bfb/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10633328 errors:1 dropped:0 overruns:0 frame:1
TX packets:5352215 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1013955439 (966.9 MB) TX bytes:10558830 (10.0 MB)
Interrupt:16 Base address:0x8800

eth1 Link encap:Ethernet HWaddr 00:1c:f0:1a:0f:7e
inet6 addr: fe80::21c:f0ff:fe1a:f7e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6628881 errors:0 dropped:0 overruns:0 frame:0
TX packets:4479250 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4239079584 (3.9 GB) TX bytes:587987364 (560.7 MB)
Interrupt:18 Base address:0x4000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:176 (176.0 B) TX bytes:176 (176.0 B)

ppp0 Link encap:Point-to-Point Protocol
inet addr:89.163.xx.xx P-t-P:1.1.4.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:699 errors:0 dropped:0 overruns:0 frame:0
TX packets:678 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:631872 (617.0 KB) TX bytes:122901 (120.0 KB)
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 15 comments