[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Liberar tráfego de saída VPN PPTD portas 1723 e 47



O modulo no firewall de nat do gre está sendo carregado né ? E o link mostra algo importante que aparentemente no seu script está errado --dport 47 para -p47.

2009/4/15 Cleyton Santana de Sousa <csantanaes@gmail.com>

2009/4/15 Leonardo Coelho <leonardoscoelho@gmail.com>

http://aojunior.blogspot.com/2006/12/nat-de-trfego-vpn-pptp-windows-com.html

Google é o seu amigo...

2009/4/15 Cleyton Santana de Sousa <csantanaes@gmail.com>

Pessoal,

ola,

preciso liberar o acesso para a vpn de  um cliente nosso. rede loca --> internet --> vpn do cliente. A conexao chega a ser estabelecida, mas não passa da opcao de usuario e senha.

pesquisei sobre o assunto e li que eh necessario liberar o trafego de saida para as porta 1723 e 47 e fazer um forward de pacotes.
rodei o nmap e as portas 47 4 1723 continum bloqueadas. alguem pode ajudar a resolver esta questao?

abaixo, segue arquivo de firewall. teste os comando manualmente e na linha :
proxy:/# iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 1723 -j MARK --set-mark 2
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.



ifconfig eth3 down
ifconfig eth0:1 192.168.10.254 netmask 255.255.255.0
ifconfig eth1:1 10.1.1.254     netmask 255.255.255.0
ifconfig eth2:1 [IP EXTERNO] netmask [MASK EXTERNA]

route add default gw 10.1.1.1

echo 1 > /proc/sys/net/ipv4/ip_forward
echo nameserver 127.0.0.1 > /etc/resolv.conf

/sbin/iptables -t nat -I PREROUTING -p tcp -m multiport --dport 80 -j REDIRECT --to-ports 3128
/usr/bin/tail -f /var/log/squid/access.log &

# Rotas
IF_LAN="eth0"
IF_LINK1="eth1"
IF_LINK2="eth2"
GW_LINK1="10.1.1.1"
GW_LINK2="IP EXTERNO"

iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE

iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 1723 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 47 -j MARK --set-mark 2



iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 1723 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 47 -j MARK --set-mark 2


ip rule add fwmark 1 table 21 prio 20
ip rule add fwmark 2 table 22 prio 20
ip route add default via $GW_LINK1 dev $IF_LINK1 table 21
ip route add default via $GW_LINK2 dev $IF_LINK2 table 22
ip route flush cache




Cleyton Santana de Sousa

COBIT Certified
ITIL Foundation Certified
Microsoft Certified Professional
http://csantanaes.blogspot.com
Gestão de TI e Gerenciamento de Projetos

"A mente que se abre a uma nova idéia jamais voltará ao seu tamanho original"
(Albert Einstein)



--
"First they ignore you, then they laugh at you, then they fight you, then you win." - Mahatma Gandhi
Linux User #373408
cabelohw.blogspot.com
GPGkey ID  8AEEAAEB -->> http://pgp.mit.edu

Leonardo e lista,

o contexto informado na site referencia pelo SR. Leonardo é diferente. o que preciso é o inverso.
eh permitir que possamos nos conectar a uma vpn de um cliente nosso..
Leonardo, tenho feito várias pesquisas. Mesmo assim agradeco por sua atencao.

att,

Cleyton Santana de Sousa

COBIT Certified
ITIL Foundation Certified
Microsoft Certified Professional
http://csantanaes.blogspot.com
Gestão de TI e Gerenciamento de Projetos

"A mente que se abre a uma nova idéia jamais voltará ao seu tamanho original"
(Albert Einstein)




--
"First they ignore you, then they laugh at you, then they fight you, then you win." - Mahatma Gandhi
Linux User #373408
cabelohw.blogspot.com
GPGkey ID  8AEEAAEB -->> http://pgp.mit.edu

Reply to: