Re: pptp client dietro firewall (iptables)

To: Riccardo Gusso <grick@despammed.com>, DebianIT <debian-italian@lists.debian.org>
Subject: Re: pptp client dietro firewall (iptables)
From: Vitantonio Franco <antoniofranco@nauticom.it>
Date: Thu, 5 Feb 2004 14:39:10 +0100
Message-id: <[🔎] 200402051439.10346.antoniofranco@nauticom.it>
In-reply-to: <[🔎] 1075944621.18660.5.camel@localhost.localdomain>
References: <[🔎] 1075944621.18660.5.camel@localhost.localdomain>

Alle 02:30, giovedì 5 febbraio 2004, Riccardo Gusso ha scritto:
> Ciao,
> nessuno ha riscontrato problemi nello stabilire una connessione ad un
> server pptp da un client pptp che si trova dietro un firewall gestito
> con firestarter+iptables ?
> A me capita un problema strano: a volte funziona tutto perfettamente,
> altre volte, senza che io abbia cambiato la configurazione di
> firestarter, ma soltanto avendolo stoppato e riavviato dato che per
> collegarmi ad internet uso un modem 56k e quindi attivo firestarter
> quando parte la connessione, il tunnel non viene stabilito perche´ i
> pacchetti GRE non riescono ad uscire attraverso il firewall, l'ho
> scoperto utilizzando una versione di traceroute patchata per usare tali
> pacchetti.
>
> Ogni suggerimento e' gradito.
> Ciao,
>         Riccardo

Vado un po' a memoria e scusa le imprecisioni:

1)esiste una patch per IPTABLES si chiama "newnat"  con un modulo per nattare 
il traffico pptp (oltre che per l'h323, amanda e tanti altri ancora) 
utilizzando questa patch sul firewall, ricompilando il kernel e caricando i 
relativi moduli non dovrebbe essere necessario leggere oltre...

2)le connessioni per essere instaurate utilizzano un protocollo particolare, 
l'ipgre, che deve essere consentito sul firewall nel caso tu non usi il 
masquerading ma un port forwarding. Nelle regole di IPTABLES l'ipgre va 
indicato non con il nome ma con il numero 47 di protocollo, ad es: 

/sbin/iptables -A INPUT -p 47 -i ppp0 -j accept

è una regola che consente di accettare traffico ipgre in ingresso  sul 
firewall  (diretto al firewall stesso come se questo fosse il server pptp).

3) Le connessioni pptp sono dirette alla porta 1723 del server pptp e vanno 
quindi mascherate o forwardate

4)non ho mai usato firestarter, per cui queste informazioni  potrebbero anche 
non servire a nulla, nel caso esso non fosse sufficientemente flessibile da 
consenire configurazioni speciali quali servono a te (caricamento di nuovi 
moduli ecc. ecc.)!


Ciao


> --
>
> "Everyone is encouraged to help development of Debian
>  and to spread the word of free software"
>
>  http://www.debian.org/MailingLists/

Reply to:

References:
- pptp client dietro firewall (iptables)
  - From: Riccardo Gusso <grick@despammed.com>

Prev by Date: Re: winmx for linux
Next by Date: [firewall] dove mettere lo script di iptables?
Previous by thread: Re: pptp client dietro firewall (iptables)
Next by thread: Re: Curiosità
Index(es):
- Date
- Thread