Привет всем, пытаюсь настроить файрвол, чтобы разрешить PPTP-соединение. Включил GRE и PPTP на сервисном порту. Затем создал файрвол, чтобы разрешить PPTP-соединение к этому роутеру. Вот моя конфигурация файрвола:
Flags: X - отключено, I - недействительно, D - динамический
0 ;;; Проверка на вирусы
Port chain=input action=jump jump-target=virus
1 chain=forward action=jump jump-target=virus
2 ;;; Разрешить пинг
chain=input protocol=icmp action=accept
3 chain=forward protocol=icmp action=accept
4 ;;; Разрешить установленные соединения
chain=input connection-state=established action=accept
5 chain=forward connection-state=established action=accept
6 ;;; Разрешить связанные соединения
chain=input connection-state=related action=accept
7 chain=forward connection-state=related action=accept
8 ;;; Отбрасывать недействительные соединения
chain=input connection-state=invalid action=drop
9 chain=forward connection-state=invalid action=drop
10 ;;; Из всех сетей
chain=forward src-address-list=Allowed action=accept
11 ;;; Во все сети
chain=forward dst-address-list=Allowed action=accept
12 ;;; Разрешить PPPtP
chain=input protocol=tcp dst-port=1723 action=accept
13 chain=input protocol=tcp dst-port=47 action=accept
14 ;;; Помечать сканеры портов
chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
15 chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
16 ;;; NMAP FIN Stealth scan
chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
17 chain=forward protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
18 ;;; SYN/FIN scan
chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
19 chain=forward protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
20 ;;; SYN/RST scan
chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
21 chain=forward protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
22 ;;; FIN/PSH/URG scan
chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
23 chain=forward protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
24 ;;; ALL/ALL scan
chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
25 chain=forward protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
26 ;;; Отбрасывать сканеры портов
chain=input src-address-list=port scanners action=drop
27 chain=forward src-address-list=port scanners action=drop
28 ;;; Отбрасывать все остальное
chain=input action=drop
29 chain=forward action=drop
С этим правилом, PPTP-соединение все равно отбрасывается. Поделитесь, пожалуйста, советами.
Flags: X - отключено, I - недействительно, D - динамический
0 ;;; Проверка на вирусы
Port chain=input action=jump jump-target=virus
1 chain=forward action=jump jump-target=virus
2 ;;; Разрешить пинг
chain=input protocol=icmp action=accept
3 chain=forward protocol=icmp action=accept
4 ;;; Разрешить установленные соединения
chain=input connection-state=established action=accept
5 chain=forward connection-state=established action=accept
6 ;;; Разрешить связанные соединения
chain=input connection-state=related action=accept
7 chain=forward connection-state=related action=accept
8 ;;; Отбрасывать недействительные соединения
chain=input connection-state=invalid action=drop
9 chain=forward connection-state=invalid action=drop
10 ;;; Из всех сетей
chain=forward src-address-list=Allowed action=accept
11 ;;; Во все сети
chain=forward dst-address-list=Allowed action=accept
12 ;;; Разрешить PPPtP
chain=input protocol=tcp dst-port=1723 action=accept
13 chain=input protocol=tcp dst-port=47 action=accept
14 ;;; Помечать сканеры портов
chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
15 chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
16 ;;; NMAP FIN Stealth scan
chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
17 chain=forward protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
18 ;;; SYN/FIN scan
chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
19 chain=forward protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
20 ;;; SYN/RST scan
chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
21 chain=forward protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
22 ;;; FIN/PSH/URG scan
chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
23 chain=forward protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
24 ;;; ALL/ALL scan
chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
25 chain=forward protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
26 ;;; Отбрасывать сканеры портов
chain=input src-address-list=port scanners action=drop
27 chain=forward src-address-list=port scanners action=drop
28 ;;; Отбрасывать все остальное
chain=input action=drop
29 chain=forward action=drop
С этим правилом, PPTP-соединение все равно отбрасывается. Поделитесь, пожалуйста, советами.