VPN

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 11:53h

blz... my friend...

marllon1987
(usa Ubuntu)

Enviado em 29/09/2009 - 14:01h

não consegui fazer rodar o que você me mandou....

e peguei o original fiz um backup dele e comentei todas as regras de bloqueio dele e consegui fazer rodar mais caiu a net...

não teria alguma maneira de utilizar essa linha mesmo estando bloqueada por outra linha por que tem uma sequencia lógica tipo regras de bloqueio vem primeiro e caso precise desblolquear ela deve ser digitado abaixo da linha de boqueio, não sei se é assim ou se eu to falando besteira mais caso dê pra fazer de alguma outra maneira, por que o codigo que tem aqui foi feito por uma empresa tercerizada e não sei muito a respeito da ordem que deve ser escrito ou de alguma maneita que se deve organizar.

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 14:09h

vou pegar o seu script e dar uma ajustada na ordem das conf....


ok.

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 14:15h

Coloca isso aí e faz o teste é o seu script de firewall, tirando as porcarias, ta bem sexo, nao tem segurança nenhuma, mais da para fazer o testes..

# Modulos
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe ipt_REDIRECT

# Tabelas
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -t filter -Z
iptables -t nat -Z
iptables -t mangle -Z


# Limitando tempo de Ping
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Roteamento
echo 5 > /proc/sys/net/ipv4/ip_forward

ifconfig eth1:1 192.168.0.100 netmask 255.255.255.0 up


#Libera acesso da porta VPN
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723


# Libera acesso para Web
iptables -t nat -A PREROUTING -p tcp --dport 8088 -j DNAT --to-destination 192.168.0.157:80


# Aceita conexões da Conectividade Social
iptables -A FORWARD -s 192.168.0.0/24 -d obsupgdp.caixa.gov.br -j ACCEPT
iptables -A FORWARD -s obsupgdp.caixa.gov.br -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d cmt.caixa.gov.br -j ACCEPT
iptables -A FORWARD -s cmt.caixa.gov.br -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.160/20 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT

# Redireciona porta 80 para 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

antobar
(usa Fedora)

Enviado em 03/10/2009 - 23:30h

Viva!
Já passei por isso, e a falta de tempo para resolver a situação obrigou-me a recuar.

Entretanto ontem, finalmente, encontrei quase por acaso uma forma de contornar, e colocar a funcionar.

Este tipo de situação acontece muito quando temos um Firewall/Router Linux e se pretende usar VPN de um M$ WinServer 200x que está dentro da rede, para autenticar quem está de fora.

Quanto ao script do iptables, reparei no seguinte:
"#iptables -t nat -I PREROUTING -p 47 --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
#iptables -t nat -I PREROUTING -p gre --dport 1723 -j DNAT --to-destination 192.168.0.156:1723"

Protocolo 47 é o Gre. Será necessário estar activo, mas não pode incluir a porta! o --dport necessita de ter associado por exemplo o protocolo tcp ou udp.

Inclusive cheguei a encontrar esta resposta, que aparentemente resolveu a situação lá do outro:
assume for simplicity: iptables -P FORWARD ACCEPT
echo ">>>--- setup nat VPN"
iptables -t nat -A PREROUTING -i <Public-IFace> -p gre -d <VPN-Public-IP> -j DNAT --to-destination <VPN-DMZ-IP>
iptables -t nat -A PREROUTING -i <Public-IFace> -p tcp --sport 1024:65535 -d <VPN-Public-IP> --dport 1723 -j DNAT --to-destination <VPN-DMZ-IP>

Tem também que ter carregado:
modprobe ip_nat_pptp

E poderá também que ter no INPUT, a aceitação à porta 1723:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT

Nota: Pode parecer básico, mas às vezes esquecemos, quando se está a fazer testes e tem-se as regras iptables a funcionar, estes "-A" devem ser substituídos por "-I"

Tudo isto, é para implementações de servidor VPN PPTP! Se usar L2TP,IPsec, ou outros métodos, as regras da Firewall serão drasticamente diferentes!

Agora, a forma como eu ULTRAPASSEI este problema:
PPTPproxy: http://www.mgix.com/pptpproxy/
e introduzindo esta simple regra:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1723 -j ACCEPT

Nota: poderá necessitar do modprobe que descreve em cima, uma vez que deixei-o carregado, contudo e como poderá ver na documentação do PPTPproxy, Não deve e não pode estar a redireccionar GRE/1723 para que o PPTPproxy funcione correctamente.

Quanto a mim, a próxima vez que me meter neste assunto será para erradicar definitivamente o Servidor VPN M$, e passar a usar OpenVPN (ou outro free) directamente na FW/Router, mas usando a autenticação do AD.

myfeb
(usa Debian)

Enviado em 26/10/2009 - 16:38h

Eu consegui fazer funcionar aqui usando iptables -t nat -A PREROUNTING -p tcp "meu ip Externo" --d port 1723 -j DNAT --to "IP MICRO VPN":1723
iptables -t -A PREROUNTING -p 47 -i eth0 -j --to "IP MICRO VPN"

myfeb
(usa Debian)

Enviado em 26/10/2009 - 16:45h

Corrigindo PREROUTING Edu

marllon1987
(usa Ubuntu)

Enviado em 27/10/2009 - 11:07h

modprobe: Can't locate module ip_nat_pptp
Bad argument `PREROUTING'
Try `iptables -h' or 'iptables --help' for more information.


apareceu essa mensagem...
dei uma pesquisada e vi que pode ser incompatibilidade do kernel 2.4.20-8