Помогите с IPTABLES

[iStitch07]

Гуру iptables и сетевых стеков, нужна ваша помощь :)

Настроил у себя в домашней сети маршрутизацию выборочных запросов через тор и это вот все. В локалке все работает как надо и хорошо.

Но был сильно удивлен, когда решил проверить как это работает когда я подключаюсь к себе по VPN (IPSec, встроенный) и обнаружил что это не работает никак. А еще сильнее был удивлен, когда узнал что для клиентов IPSec нет своего сетевого интерфейса. Если бы он был, вопросов бы не было наверное, добавил бы новое правило прероутинга для интерфейса и все, наподобие уже работающих для локалки:

iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040

iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040

 

Но поскольку его нет, решил добавить правило для сети в которую попадает мое устройство подключенное по IPSec (172.20.0.0/25):

 

iptables -t nat -I PREROUTING -p tcp -s 172.20.0.0/25 -m set --match-set rublock dst -j REDIRECT --to-ports 9040

 

 

Не сработало: счетчик пакетов и байтов нулевой, мой внешний адрес для сайтов не подменяется, значит я по прежнему хожу через обычный нат

Подскажите какие (какое правило) и куда нужно прописать, что бы IPSecовский клиент тоже мог наслаждаться всеми плюшками того что есть в локалке? 

 

[Le ecureuil]

Virtual IP является устаревшей технологией.

Переходите на L2TP/IPsec, там интерфейсы есть.

[iStitch07]

1 час назад, Le ecureuil сказал:

Virtual IP является устаревшей технологией.

Переходите на L2TP/IPsec, там интерфейсы есть.

С ним у меня вообще ничего не работает: на интерфейсе l2tp вижу только исходящие dns запросы на 192.168.1.1, но нет ответов

[Le ecureuil]

13 часа назад, iStitch07 сказал:

С ним у меня вообще ничего не работает: на интерфейсе l2tp вижу только исходящие dns запросы на 192.168.1.1, но нет ответов

А что у вас за клиент и какая версия прошивки?

[sap]

Добрый день! Чтобы не создавать новую тему, напишу здесь. Есть старый белый zyxel keenetic giga (прошивка v2.04(USD.8)C7); задача в том, чтобы у отдельных устройств были другие днс сервера с возможностью фильтрации рекламы и т.п. Установил dnsmasq, отключил ppe и fastnat, создал файл /opt/etc/ndm/netfilter.d/010-intercept-dns.sh :

#!/bin/sh

[ "$table" != "nat" ] && exit 0

iptables -t nat -I PREROUTING -p udp -m udp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 192.168.1.1:8053
iptables -t nat -I POSTROUTING -p udp -m udp -s 192.168.1.1 --sport 8053 -j SNAT --to-source 1.1.1.1:53

Правила iptables срабатывают, запросы устройств с днс сервером 1.1.1.1 заворачиваются на dnsmasq, всё работает. Но у устройств с другим днс сервером возникают проблемы: в дампе траффика видно, что запросы днс уходят с разных портов, а ВСЕ ответы приходят на один и тот же случайный порт (например, порт 22345 или 34502). Может нужны другие  правила iptables или еще какие-то? Или причина вообще не в iptables?

 

[sap]

Сделал по-другому, с помощью команды ip static.