iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -A POSTROUTING -t nat -s
10.232.1.0/24 -o eth0 -j MASQUERADE
iptables -A POSTROUTING -t nat -s
123.123.123.0/24 -o tun0 -j MASQUERADE
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -p tcp --sport 1194 --dport 80 -j DNAT --to-destination 200.1.1.1
:3128
iptables -A PREROUTING -t nat -i eth0 -p udp --dport 80 -j DNAT --to-destination
200.1.1.1:3128iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 8080 -j DNAT --to-destination
200.1.1.1.:3128
iptables -A PREROUTING -t nat -i eth0 -p udp --dport 8080 -j DNAT --to-destination
200.1.1.1:3128iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 138 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 139 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 25 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 110 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 3128 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 138 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 139 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 8080 -j ACCEPT
Em 20 de fevereiro de 2011 11:50, Rodrigo Escobar
<rescobarrj@gmail.com> escreveu:
Algumas coisas a se considerar..
Voce tem que ter as regras de PREROUTING e POSTROUTING (com NETMAP) para as redes conversarem entre si e sem contar que a regra de FORWARD tambem tem que estar habilitada.
ex:
iptables -A FORWARD -i tun+ -j ACCEPT
* substitua pelo seu(s) ips/interfaces
Agora,, se voce quiser fazer com que os clientes da vpn conversem entre si, voce tem que colocar client-to-client to arquivo de configuracao do servidor.
abs
2011/2/19 Helio Loureiro
<helio@loureiro.eng.br>
Sim, foi a primeira coisa que verifiquei, antes que eu abrisse a porta 7794 udp apareciam nsg ni log de "network unreachable" ,depois que eu liberei esta porta estas msg desapareceram, e além disso, se houvesse algum bloquei o cliente não conectaria, o que tb aconteceu antes da liberação,agora o handshake ocorre,mas parece que os pacotes não circulam ....
Como estão suas rotas qdo a VPN é estabelecida? Qual a saída do "ip route list"?
E como está a opção de forward do kernel?
"sysctl net.ipv4.ip_forward" ?
E imagino que suas regras de firewall estejam bem definidas, com opções "-i" e "-o" para suas devidas interfaces, para justamente não ter problemas, certo?
Seria bom mandar um ping de alguma máquina de uma das redes, e olhar o tráfego em ambos os nós VPN.
Abs,
Helio Loureiro
--
Att
Anderson Bertling