pptp vpn linux tuzfalon keresztul

 ( lelkesz | 2008. szeptember 18., csütörtök - 15:49 )

Szervusztok,

Segitsget kernek. Kezdo vagyok az iptables teren.

A problemam a kovetkezo:Adott egy debian etch rajta egy iptables tuzfal.
Kivulrol szeretnenk a tuzfalon keresztul pptp-el egy belso gepet elerni.

A firewall script-be bevestem a kovetkezoket:

iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p TCP -s 0/0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -s 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p 47 -i $kulso_interface -j DNAT --to belso.bep.ip.cime

de nem megy . Kell -e meg valami ?

Esetleg kell meg a kernelbe beforgatni valamit ? kernel verzio:2.6.18.6
lelkesz

A segitseget elore is koszonom

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az INPUT chainbe nem kell beletenni. Viszont a FORWARD-hoz hozzá kellene adni a visszirányt is, vagy a state modul használatával a RELATED állapotú csomagokat átengedni. Az utóbbit javaslom.

Esetleg igy ?
iptables -A FORWARD -p TCP -s 0/0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -s 0/0 -j ACCEPT
iptables -A FORWARD -p TCP -d 0/0 --sport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -d 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p 47 -i $kulso_interface -j DNAT --to belso.bep.ip.cime

Ránézésre működőképesnek tűnik, viszont lehet egy kicsit szigorúbb és állapottartó.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $kulso_interface -m state --state NEW -p tcp -d $belso_gep_ip_cime --dport 1723 -j ACCEPT
iptables -t nat -A PREROUTING -i $kulso_interface -p tcp --dport 1723 -j DNAT --to-destination $belso_gep_ip_cime

Ha a külső interfészen több IP lehet, érdemes lehet kiegészíteni -d $kulso_ip kitétellel is.

Jol gondolom kell a vissza FORWARD is ,igy valahogy ?
iptables -A FORWARD -i $belso_interface -m state --state NEW -p tcp -d $kulso_gep_ip_cime --dport 1723 -j ACCEPT

Ebben a példában az első sor gondoskodik a visszirányról (ESTABLISHED), és a GRE-ről (RELATED). A NEW állapot csak a kapcsolatfelépítés irányában kell. Ez pedig kívülről befelé irányul.

Az általad írt szabály akkor kellene, ha a belső gépről mint kliensről indítanál a külső gépre mint szerverre kapcsolatot.

Koszonom szepen probalom

beirtam a fenti 3 sort de nem mukodik
nmap-ra ezt mondja:

PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp closed ftp
22/tcp open ssh
25/tcp closed smtp
47/tcp closed ni-ftp
80/tcp closed http
110/tcp closed pop3
115/tcp closed sftp
123/tcp closed ntp
143/tcp closed imap
220/tcp closed imap3
443/tcp closed https
989/tcp closed ftps-data
990/tcp closed ftps
1723/tcp closed pptp

Ezt az interneten, a tűzfalon kívül lévő gépről próbáltad? Ha igen, a csomagszámlálóknál mi látszik (iptables -nvL FORWARD és iptables -t nat -nvL PREROUTING)? Ez a teljes tűzfalszabályrendszer, vagy előtte lévőbe is beleeshet ez a forgalom? Egy tcpdump -i $belso_interface -nvvvs 1500 icmp or port 1723 futtatása mutathat valamit, illetve ugyanez a külső interfészen. A PPTP szerver biztosan fut?

igen kinntrol brobaltam,

Vannak meg ez elott is tuzfalszabalyok

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 1500 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Chain PREROUTING (policy ACCEPT 126K packets, 15M bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT 47 -- eth0 * 0.0.0.0/0 0.0.0.0/0 to:192.168.1.206
0 0 DNAT tcp -- 217.65.110.22 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 to:192.168.1.206

pptp server ? tuzfalra kell ilyen ??

"0 0 DNAT tcp -- 217.65.110.22 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 to:192.168.1.206"
A példában a $kulso_interface az interfész nevét hivatott jelenteni, nem az IP-jét, arra a -d használható.
"iptables -t nat -A PREROUTING -i $kulso_interface -p tcp --dport 1723 -j DNAT --to-destination $belso_gep_ip_cime"

Ha mindkettőt szeretnéd, akkor a teljes parancs:
iptables -t nat -A PREROUTING -i $kulso_interface -p tcp -d $kulso_ip --dport 1723 -j DNAT --to-destination $belso_gep_ip_cime

"pptp server ? tuzfalra kell ilyen ??"
Nem. Arra akartam csak rákérdezni, hogy a belső 192.168.1.206 gépen fut-e rendesen a PPTP szerver.

/proc/sys/net/ipv4/ip_forward -ba egyesnek kell lennie.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

1-s van benne

tcp vagy udp?

pptp ? szerintem tcp ill gre
Ha rosszultudom javitsatok ki

Szevasztok

Talán így menni fog:

modprobe ip_nat_pptp

modinfo ip_nat_pptp
filename: /lib/modules/2.6.18-4-686/kernel/net/ipv4/netfilter/ip_nat_pptp.ko
license: GPL
author: Harald Welte
description: Netfilter NAT helper module for PPTP
license: GPL
author: Harald Welte
description: Netfilter NAT protocol helper module for GRE
vermagic: 2.6.18-4-686 SMP mod_unload 686 REGPARM gcc-4.1
depends: ip_nat,ip_conntrack_pptp,ip_conntrack

Szevasztok

Slackwall

Valoban a modprobe... kellett .
Koszonom a segitsegteket

sztupi

Sziasztok!

A fenti portforwardot használom én is és működik. A windwosos gépet most egy ddwrt-s routerre cseréltem le, hogy több kapcsolatot is tudjak fogadni.
Az a gondom, hogy csak 1 kapcsolatot tudok fogadni az internet felöl. Ha belső hálózaton próbálkozom, akkor gond nélkül tudok csatlakozni akár 3 eszközzel is, neten keresztül viszont mindig csak eggyel tudok. Csatlakozni.

Nekem úgy tűnik, hogy valamiért a port forwardnál elagad a dolog, ha már van egy élő kapcsolat.

Valami elképzelés esetleg?

Köszönöm
András