Re: pptp client dietro firewall (iptables)
Alle 02:30, giovedì 5 febbraio 2004, Riccardo Gusso ha scritto:
> Ciao,
> nessuno ha riscontrato problemi nello stabilire una connessione ad un
> server pptp da un client pptp che si trova dietro un firewall gestito
> con firestarter+iptables ?
> A me capita un problema strano: a volte funziona tutto perfettamente,
> altre volte, senza che io abbia cambiato la configurazione di
> firestarter, ma soltanto avendolo stoppato e riavviato dato che per
> collegarmi ad internet uso un modem 56k e quindi attivo firestarter
> quando parte la connessione, il tunnel non viene stabilito perche´ i
> pacchetti GRE non riescono ad uscire attraverso il firewall, l'ho
> scoperto utilizzando una versione di traceroute patchata per usare tali
> pacchetti.
>
> Ogni suggerimento e' gradito.
> Ciao,
> Riccardo
Vado un po' a memoria e scusa le imprecisioni:
1)esiste una patch per IPTABLES si chiama "newnat" con un modulo per nattare
il traffico pptp (oltre che per l'h323, amanda e tanti altri ancora)
utilizzando questa patch sul firewall, ricompilando il kernel e caricando i
relativi moduli non dovrebbe essere necessario leggere oltre...
2)le connessioni per essere instaurate utilizzano un protocollo particolare,
l'ipgre, che deve essere consentito sul firewall nel caso tu non usi il
masquerading ma un port forwarding. Nelle regole di IPTABLES l'ipgre va
indicato non con il nome ma con il numero 47 di protocollo, ad es:
/sbin/iptables -A INPUT -p 47 -i ppp0 -j accept
è una regola che consente di accettare traffico ipgre in ingresso sul
firewall (diretto al firewall stesso come se questo fosse il server pptp).
3) Le connessioni pptp sono dirette alla porta 1723 del server pptp e vanno
quindi mascherate o forwardate
4)non ho mai usato firestarter, per cui queste informazioni potrebbero anche
non servire a nulla, nel caso esso non fosse sufficientemente flessibile da
consenire configurazioni speciali quali servono a te (caricamento di nuovi
moduli ecc. ecc.)!
Ciao
> --
>
> "Everyone is encouraged to help development of Debian
> and to spread the word of free software"
>
> http://www.debian.org/MailingLists/
Reply to: