Ajuda para liberar o protocolo GRE no iptables

To: "Lista - Debian pt_BR" <debian-user-portuguese@lists.debian.org>
Subject: Ajuda para liberar o protocolo GRE no iptables
From: "Guilherme Rocha" <guilherme@gf7.com.br>
Date: Sat, 1 Sep 2007 10:22:40 -0300
Message-id: <[🔎] 8e42708e0709010622l197c630v9d759413b842d0aa@mail.gmail.com>

Pessoal,

fui "convidado" a abrir umas portas num firewall pronto, rodando Debian Sarge, com kernel 2.4.27...

Minha questão é a seguinte:

Existe um script de firewall pronto e ativo nesse Debian, até aí blza. Já fiz quase tudo que foi solicitado, mas o protocolo GRE (para aquelas malditas VPN PPTP do Window ;( não consigo manipular corretamente... (já tive alguns avanços, mas o log do servidor windows onde tá sendo fornecida a VPN reclama q a conexão foi aberta, mas não existe tráfego de dados pq o GRE está sendo bloqueado no meio do caminho)

Após alguns tcpdumps da vida, verifiquei que os pacotes chegam, são redirecionados corretamente, voltam e são entregues, aparentemente normal. Mas mesmo assim não funciona. O q me chamou a atenção é o fato de que as estações de dentro da rede tb não conseguem conectar em servidores PPTP externos tb...

bem, chega de choradera e vamos lá... :D

vou colar aqui parte do script, onde estou trabalhando: se alguém puder ajudar eu agradeço MUITO.

---------------------------------------------------------------------------------------------------------------------------------------------

# Modules
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_gre

# Variables
IPTABLES="/sbin/iptables"
EXT_IF="eth0"
#EXT_IF="ppp0"
INT_IF="eth1"
EXT_IP=`ifconfig $EXT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1`
INT_IP=`ifconfig $INT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1`
INT_NET=" 10.10.70.0/24"

echo ""

#PPTP port OK!
$IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 1723 -j DNAT --to 10.10.70.10
$IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 1723 --syn -j ACCEPT

#GRE protocol (BUG!!!!)
$IPTABLES -A PREROUTING -t nat -d $EXT_IP -p 47 -j DNAT --to 10.10.70.10
$IPTABLES -A FORWARD -i $INT_IF -s $INT_NET -p 47 -j ACCEPT

#MS-TS (funcionando OK)
$IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 3389 -j DNAT --to 10.10.70.10
$IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 3389 --syn -j ACCEPT

#Remote Web-Access (funcionando OK)
$IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 81 -j DNAT --to 10.10.70.10
$IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 81 --syn -j ACCEPT

#Postrouting padrão (OK!)
$IPTABLES -A POSTROUTING -t nat -o $EXT_IF -s $INT_NET -j SNAT --to $EXT_IP

-------------------------------------------------------------------------------------------------------------------------

Então gente, será que alguma boa alma te alguma sugestão??

Abraços,

--
Guilherme Rocha
http://e-gui.homelinux.org
Mobile 55 71 92133568
Keep on hackin' in the free world!
--
"Tudo é uma questão de manter a mente quieta, a espinha ereta e o coração tranquilo."
(Walter Franco)

Reply to:

Follow-Ups:
- Re: Ajuda para liberar o protocolo GRE no iptables
  - From: Denis <denismpa@gmail.com>

Prev by Date: Instalação Debian [ 2 HD's ]
Next by Date: Re: Instalação Debian [ 2 HD's ]
Previous by thread: Re: Instalação Debian [ 2 HD's ]
Next by thread: Re: Ajuda para liberar o protocolo GRE no iptables
Index(es):
- Date
- Thread