Re: Ajuda para liberar o protocolo GRE no iptables

To: lists.dup <debian-user-portuguese@lists.debian.org>
Subject: Re: Ajuda para liberar o protocolo GRE no iptables
From: Denis <denismpa@gmail.com>
Date: Mon, 10 Sep 2007 11:43:20 -0300
Message-id: <[🔎] e9aeeef80709100743w50b7a85y43df0fef05444473@mail.gmail.com>
In-reply-to: <[🔎] 8e42708e0709010622l197c630v9d759413b842d0aa@mail.gmail.com>
References: <[🔎] 8e42708e0709010622l197c630v9d759413b842d0aa@mail.gmail.com>

Em 01/09/07, Guilherme Rocha<guilherme@gf7.com.br> escreveu:
>
> Pessoal,
>
> fui "convidado" a abrir umas portas num firewall pronto, rodando Debian
> Sarge, com kernel 2.4.27...
>
> Minha questão é a seguinte:
>
> Existe um script de firewall pronto e ativo nesse Debian, até aí blza. Já
> fiz quase tudo que foi solicitado, mas o protocolo GRE (para aquelas
> malditas VPN PPTP do Window ;( não consigo manipular corretamente... (já
> tive alguns avanços, mas o log do servidor windows onde tá sendo fornecida a
> VPN reclama q a conexão foi aberta, mas não existe tráfego de dados pq o GRE
> está sendo bloqueado no meio do caminho)
>
> Após alguns tcpdumps da vida, verifiquei que os pacotes chegam, são
> redirecionados corretamente, voltam e são entregues, aparentemente normal.
> Mas mesmo assim não funciona. O q me chamou a atenção é o fato de que as
> estações de dentro da rede tb não conseguem conectar em servidores PPTP
> externos tb...
>
>
> bem, chega de choradera e vamos lá...  :D
>
> vou colar aqui parte do script, onde estou trabalhando: se alguém puder
> ajudar eu agradeço MUITO.
>
> ---------------------------------------------------------------------------------------------------------------------------------------------
>
>
> # Modules
> /sbin/modprobe iptable_nat
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe ip_gre
>
>
> # Variables
> IPTABLES="/sbin/iptables"
> EXT_IF="eth0"
> #EXT_IF="ppp0"
> INT_IF="eth1"
> EXT_IP=`ifconfig $EXT_IF | grep inet | cut -d : -f 2 | cut -d \  -f 1`
> INT_IP=`ifconfig $INT_IF | grep inet | cut -d : -f 2 | cut -d \  -f 1`
> INT_NET=" 10.10.70.0/24"
>
>
>
> echo ""
>
> #PPTP port OK!
> $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 1723 -j DNAT --to
> 10.10.70.10
> $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 1723 --syn -j ACCEPT
>
> #GRE protocol (BUG!!!!)
> $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p 47 -j DNAT --to 10.10.70.10
> $IPTABLES -A FORWARD -i $INT_IF -s $INT_NET -p 47 -j ACCEPT
>
> #MS-TS (funcionando OK)
> $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 3389 -j DNAT --to
> 10.10.70.10
> $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 3389 --syn -j ACCEPT
>
> #Remote Web-Access (funcionando OK)
> $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 81 -j DNAT --to
> 10.10.70.10
> $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 81 --syn -j ACCEPT
>
> #Postrouting padrão (OK!)
> $IPTABLES -A POSTROUTING -t nat -o $EXT_IF -s $INT_NET -j SNAT --to $EXT_IP
>
>
> -------------------------------------------------------------------------------------------------------------------------
>
>



>
>
> Abraços,
>
>
> --
> Guilherme Rocha
> http://e-gui.homelinux.org
> Mobile 55 71 92133568
> Keep on hackin' in the free world!
> --
> "Tudo é uma questão de manter a mente quieta, a espinha ereta e o coração
> tranquilo."
> (Walter Franco)


> Então gente, será que alguma boa alma te alguma sugestão??

Além do forward você tem que fazer o postrouting e liberar o input dos
pacotes GRE também.


Abraço,
Denis Anjos

Reply to:

Follow-Ups:
- Re: Ajuda para liberar o protocolo GRE no iptables
  - From: "Maxwillian Miorim" <miorimmax@gmail.com>

References:
- Ajuda para liberar o protocolo GRE no iptables
  - From: "Guilherme Rocha" <guilherme@gf7.com.br>

Prev by Date: Problemas com compartilhamento NFS
Next by Date: Re: Redirect pelo index.html
Previous by thread: Ajuda para liberar o protocolo GRE no iptables
Next by thread: Re: Ajuda para liberar o protocolo GRE no iptables
Index(es):
- Date
- Thread