IPTables tűzfal - nem megy a kliensekről VPN-en át az ms hálózat böngészés

Linux-kezdő

Hali!

Itthonról kellene asszonynak belépni a céges hálózatra.
Laptopon XP, az én gépem a tűzfal iptables.

SAP fut, ip alapon bármit elérek a benti hálózaton, de a map-pelt windowsos
meghajtók nem érhetők el intézőből, illetve Outlook sem éri el a céges szervert.Így néz ki a FORWARD láncom:
iptables -nvL FORWARD
Chain FORWARD (policy DROP 3 packets, 392 bytes)
pkts bytes target prot opt in out source destination
485 108K bad_packets all -- * * 0.0.0.0/0 0.0.0.0/0
3 144 tcp_outbound tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
266 46877 udp_outbound udp -- eth0 * 0.0.0.0/0 0.0.0.0/0
18 1008 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
198 60165 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `FORWARD packet died: '

iptables -nvL bad_packets
Chain bad_packets (2 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID LOG flags 0 level 4 prefix `Invalid packet: '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
434 447K bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
960 563K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

iptables -nvL bad_tcp_packets
Chain bad_tcp_packets (1 references)
pkts bytes target prot opt in out source destination
3 144 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x16/0x02 state NEW LOG flags 0 level 4 prefix `New not syn: '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x16/0x02 state NEW
431 447K RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0

iptables -nvL tcp_outbound
Chain tcp_outbound (1 references)
pkts bytes target prot opt in out source destination
3 144 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0

iptables -nvL udp_outbound
Chain udp_outbound (1 references)
pkts bytes target prot opt in out source destination
277 47638 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0

eth0 a helyi interfész, eth1 az internet.

Mit rontottam el/mi maradt ki?

Előre is köszi!

Misi

  • 878 megtekintés

( kirk | 2006. 04. 01., szo – 20:37 )

szerintem ez helyett neked ennyi is eleg lenne:
es szerintem inkabb a config scriptet postold legkozelebb mint az -Lnv
cuccot, ebbol nehezebb kihamozni mi a config

iptables -P FORWARD DROP
ipt="iptable -A FORWARD"
$ipt -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -s 127.0.0.0/8 -j DROP
$ipt -p tcp --tcp-option ! 2 -j DROP
$ipt -i $lan -j ACCEPT

es megvalami: nem tudom h nat-olsze vagy jo az az ip amivel ki akarmenni a forwardolt gep,
a fenti configban igy hirtelen nem latom a hibat de eleg kusza darab szerintem ;)
a (udp|tcp)_outbound chaineknek 1altalan nem latom ertelmet, s a chain vegi return-t mindig oda kell gondolni...mert az automatan megtortenik , a csomag utjat csak dontes szintu parancs zarhatja le! ;)

udv.kirk

Igen, van benne felesleges rész, de úgy generáltattam a scriptet és nem akartam még kigyalulni belőle.

Kipróbáltam az általad ajánlottat. Kellett bele még egy
$ipt -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
mert udp-n megy a vpn. Most is ugyanott tartok, ahol eddig.

Csatlakozik, pingelek bármilyen belső címet, SAP belép,
de Outlook már nem. (a plusz udp-s sor nélkül nem tudott
csatlakozni)

A belső címet DHCP-vel osztom, az kitalál tökéletesen.

Köszi!

Misi