On Sun, Feb 15, 2009 at 04:47:26PM +0300, Vladimir Elizarov wrote: > Есть openvpn-сервер, находится за nat'ом. К нему проброшенн порт udp 443 > следующими правилами (по умолчанию для всех цепочек, кроме nat (ACCEPT), > политика DROP): > > iptables -A INPUT -p udp -m udp -d $WAN_IP -i $WAN_IF --dport 443 -j ACCEPT > iptables -A FORWARD -i $WAN_IF -p udp -m udp --dport 443 -j ACCEPT > iptables -t nat -A PREROUTING -p udp -m udp -i $LAN_IF --dport 443 -d > $WAN_IP -j DNAT --to-destination $OPENVPN:443 > iptables -t nat -A POSTROUTING -d $OPENVPN -o $LAN_IF -p udp -m udp > --dport 443 -j SNAT --to-source $LAN_IP:443
Ну и как контрак может отличить разные "коннекции" со стороны LANа, если они должны маппиться в одну :443 -> :443? Очевидно, никак. :-) Работать это может лишь для одного клиента, остальные будут сосать лапу. P.S. К мифическим "преимуществам tcp перед openvpn" это никакого отношения не имеет, здесь просто грубая ошибка конфигурации. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org