[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Liberar tráfego de saída VPN PPTD portas 1723 e 47



2009/4/15 Cleyton Santana de Sousa <csantanaes@gmail.com>:
> Pessoal,
>
> ola,
>
> preciso liberar o acesso para a vpn de  um cliente nosso. rede loca -->
> internet --> vpn do cliente. A conexao chega a ser estabelecida, mas não
> passa da opcao de usuario e senha.
>
> pesquisei sobre o assunto e li que eh necessario liberar o trafego de saida
> para as porta 1723 e 47 e fazer um forward de pacotes.
> rodei o nmap e as portas 47 4 1723 continum bloqueadas. alguem pode ajudar a
> resolver esta questao?
>
> abaixo, segue arquivo de firewall. teste os comando manualmente e na linha :
> proxy:/# iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 1723 -j
> MARK --set-mark 2
> Bad argument `tcp'
> Try `iptables -h' or 'iptables --help' for more information.
>
>
>
> ifconfig eth3 down
> ifconfig eth0:1 192.168.10.254 netmask 255.255.255.0
> ifconfig eth1:1 10.1.1.254     netmask 255.255.255.0
> ifconfig eth2:1 [IP EXTERNO] netmask [MASK EXTERNA]
>
> route add default gw 10.1.1.1
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo nameserver 127.0.0.1 > /etc/resolv.conf
>
> /sbin/iptables -t nat -I PREROUTING -p tcp -m multiport --dport 80 -j
> REDIRECT --to-ports 3128
> /usr/bin/tail -f /var/log/squid/access.log &
>
> # Rotas
> IF_LAN="eth0"
> IF_LINK1="eth1"
> IF_LINK2="eth2"
> GW_LINK1="10.1.1.1"
> GW_LINK2="IP EXTERNO"
>
> iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE
> iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE
>
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK
> --set-mark 2
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK
> --set-mark 2
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK
> --set-mark 2
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 1723 -j MARK
> --set-mark 2
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 47 -j MARK
> --set-mark 2
>
>
>
> iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
> iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 2
> iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 2
> iptables -t mangle -A OUTPUT -p tcp --dport 1723 -j MARK --set-mark 2
> iptables -t mangle -A OUTPUT -p tcp --dport 47 -j MARK --set-mark 2
>
>
> ip rule add fwmark 1 table 21 prio 20
> ip rule add fwmark 2 table 22 prio 20
> ip route add default via $GW_LINK1 dev $IF_LINK1 table 21
> ip route add default via $GW_LINK2 dev $IF_LINK2 table 22
> ip route flush cache
>
>
>
>
> Cleyton Santana de Sousa
>
> COBIT Certified
> ITIL Foundation Certified
> Microsoft Certified Professional
> http://csantanaes.blogspot.com
> Gestão de TI e Gerenciamento de Projetos
>
> "A mente que se abre a uma nova idéia jamais voltará ao seu tamanho
> original"
> (Albert Einstein)
>

Cleiton, atente para uma coisa (muito importante): não é porta 1723 e
47. Na verdade é porta 1723 e **protocolo 47** (que é justamente o
protocolo GRE). Então ao invés de fazer

iptables bla-bla-bla -p tcp --dport 47

faça

iptables bla-bla-bla -p 47

Esse é um erro bem comum.

Abraços,
Fabiano.
-- 
Fabiano Pires
LPIC-2
http://pragasdigitais.blogspot.com/
Livrando você da escória da Internet!


Reply to: