[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ajuda para liberar o protocolo GRE no iptables

amigos,


agradeço a ajuda, o problema já foi solucionado.





Em 10/09/07, Maxwillian Miorim<miorimmax@gmail.com> escreveu:
> On 9/10/07, Denis <denismpa@gmail.com> wrote:
> > Em 01/09/07, Guilherme Rocha<guilherme@gf7.com.br> escreveu:
> > >
> > > Pessoal,
> > >
> > > fui "convidado" a abrir umas portas num firewall pronto, rodando Debian
> > > Sarge, com kernel 2.4.27...
> > >
> > > Minha questão é a seguinte:
> > >
> > > Existe um script de firewall pronto e ativo nesse Debian, até aí blza. Já
> > > fiz quase tudo que foi solicitado, mas o protocolo GRE (para aquelas
> > > malditas VPN PPTP do Window ;( não consigo manipular corretamente... (já
> > > tive alguns avanços, mas o log do servidor windows onde tá sendo fornecida a
> > > VPN reclama q a conexão foi aberta, mas não existe tráfego de dados pq o GRE
> > > está sendo bloqueado no meio do caminho)
> > >
> > > Após alguns tcpdumps da vida, verifiquei que os pacotes chegam, são
> > > redirecionados corretamente, voltam e são entregues, aparentemente normal.
> > > Mas mesmo assim não funciona. O q me chamou a atenção é o fato de que as
> > > estações de dentro da rede tb não conseguem conectar em servidores PPTP
> > > externos tb...
> > >
> > >
> > > bem, chega de choradera e vamos lá...  :D
> > >
> > > vou colar aqui parte do script, onde estou trabalhando: se alguém puder
> > > ajudar eu agradeço MUITO.
> > >
> > > ---------------------------------------------------------------------------------------------------------------------------------------------
> > >
> > >
> > > # Modules
> > > /sbin/modprobe iptable_nat
> > > /sbin/modprobe ip_conntrack_ftp
> > > /sbin/modprobe ip_nat_ftp
> > > /sbin/modprobe ip_gre
> > >
> > >
> > > # Variables
> > > IPTABLES="/sbin/iptables"
> > > EXT_IF="eth0"
> > > #EXT_IF="ppp0"
> > > INT_IF="eth1"
> > > EXT_IP=`ifconfig $EXT_IF | grep inet | cut -d : -f 2 | cut -d \  -f 1`
> > > INT_IP=`ifconfig $INT_IF | grep inet | cut -d : -f 2 | cut -d \  -f 1`
> > > INT_NET=" 10.10.70.0/24"
> > >
> > >
> > >
> > > echo ""
> > >
> > > #PPTP port OK!
> > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 1723 -j DNAT --to
> > > 10.10.70.10
> > > $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 1723 --syn -j ACCEPT
> > >
> > > #GRE protocol (BUG!!!!)
> > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p 47 -j DNAT --to 10.10.70.10
> > > $IPTABLES -A FORWARD -i $INT_IF -s $INT_NET -p 47 -j ACCEPT
> > >
> > > #MS-TS (funcionando OK)
> > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 3389 -j DNAT --to
> > > 10.10.70.10
> > > $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 3389 --syn -j ACCEPT
> > >
> > > #Remote Web-Access (funcionando OK)
> > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 81 -j DNAT --to
> > > 10.10.70.10
> > > $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 81 --syn -j ACCEPT
> > >
> > > #Postrouting padrão (OK!)
> > > $IPTABLES -A POSTROUTING -t nat -o $EXT_IF -s $INT_NET -j SNAT --to $EXT_IP
> > >
> > >
> > > -------------------------------------------------------------------------------------------------------------------------
> > >
> > >
> >
> >
> >
> > >
> > >
> > > Abraços,
> > >
> > >
> > > --
> > > Guilherme Rocha
> > > http://e-gui.homelinux.org
> > > Mobile 55 71 92133568
> > > Keep on hackin' in the free world!
> > > --
> > > "Tudo é uma questão de manter a mente quieta, a espinha ereta e o coração
> > > tranquilo."
> > > (Walter Franco)
> >
> >
> > > Então gente, será que alguma boa alma te alguma sugestão??
> >
> > Além do forward você tem que fazer o postrouting e liberar o input dos
> > pacotes GRE também.
>
>
> Não precisa liberar o INPUT se vai rotear o pacote, sobre o
> POSTROUTING, a linha do SNAT faz isso...
>
> Da uma lida nesse howto para fazer funcionar:
> http://www.impsec.org/linux/masquerade/VPN-howto/VPN-Masquerade.html
>
> --
> Max
>
>


-- 
Guilherme Rocha
Mobile 55 71 92133568
Keep on hackin' in the free world!
Reply to: