Hace un tiempo les hice una consulta sobre los
puertos que había que abrir en el firewall para una VPN.
Había estado leyendo documentación al respecto y en
toda la que encontré me decía que si el router estaba
haciendo NAT no se podía configurar el firewall
para una VPN con IPSEC.
Pues, finalmente no le hice caso a la documentación
y abrí los siguientes puertos en el firewall y me funcionó
la conexión a la VPN. Como les había prometido que
les ponía la solución cuando la encontrara pues ahí les
pongo mis reglas de iptables para una
VPN:
-----------------------------------------------------------------------------------------------------------------------
EXTIF --> Interface a la red
externa
INTIF --> Interface a la red
interna
INTNET --> Dirección de la red
interna
UNIVERSO --> a todo el mundo, o sea,
0.0.0.0/0
$IPTABLES = /sbin/iptables
-----------------------------------------------------------------------------------------------------------------------
# ESP protocolo 50
$IPTABLES -A FORWARD -p esp -i $EXTIF -s $UNIVERSO -d $INTNET -j ACCEPT $IPTABLES -A FORWARD -p esp -i $INTIF -s $INTNET -d $UNIVERSO -j ACCEPT # IKE (udp 500)
$IPTABLES -A FORWARD -p udp -i $EXTIF -s $UNIVERSO --sport 500 -d $INTNET --dport 500 -j ACCEPT $IPTABLES -A FORWARD -p udp -i $INTIF -s $INTNET --sport 500 -d $UNIVERSO --dport 500 -j ACCEPT #NAT-Transversal
$IPTABLES -A FORWARD -p udp -i $EXTIF -s $UNIVERSO --sport 4500 -d $INTNET --dport 4500 -j ACCEPT $IPTABLES -A FORWARD -p udp -i $INTIF -s $INTNET --sport 4500 -d $UNIVERSO --dport 4500 -j ACCEPT # Encapsulacion del protocolo ESP sobre
TCP
$IPTABLES -A FORWARD -p tcp -i $INTIF -s $INTNET --sport 10000 -d $UNIVERSO -j ACCEPT $IPTABLES -A FORWARD -p tcp -i $EXTIF -s $UNIVERSO --sport 10000 -d $INTNET -j ACCEPT # Protocolo AH (51)
$IPTABLES -A FORWARD -p ah -i $INTIF -s $INTNET -d $UNIVERSO -j ACCEPT $IPTABLES -A FORWARD -p ah -i $EXTIF -s $UNIVERSO -d $INTNET -j ACCEPT # Interfaz virtual del protocolo IPSec
$IPTABLES -A FORWARD -i ipsec+ -j ACCEPT $IPTABLES -A FORWARD -o ipsec+ -j ACCEPT echo -e "Enmascaramiento de IP's"
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s $INTNET -j MASQUERADE ----------------------------------------------------------------------------------------------------------------------- Ahora, tengo otro problema que es de más sencilla
solución, se supone, pero que me trae por la calle de la
amargura. Me explico:
En la Debian viene por defecto la UMASK a 0022, lo
que me crea por defecto los archivos con los permisos 644.
Sin embargo, lo que yo quiero es que se me creen
los archivos con los permisos 664 de tal modo que los usuarios
del mismo grupo puedan modificar los archivos
creados por otros usuarios del grupo.
En el archivo /etc/login.defs cambio la UMASK por
defecto (o sea la 0022) por 0002, que se supone me crearía los
permisos tal y como yo
quiero. No cambié nada en .bash_profile porque allí dice que lo
coja de login.defs (aunque también
probé especificándolo expresamente en este
fichero). Sin embargo, incluso reiniciando
la máquina al más puro estilo
windows (sé que no hace falta reiniciarla, pero
cuando uno se ve inútil pues ya se sabe que hace
cualquier cosa),
cuando entro con mi usuario y creo un archivo, me
lo sigue creando con los permisos 644. Mi
pregunta:
¿qué c... es lo que hice mal? Se supone que sólo
tengo que cambiarlo en login.defs, o ¿es que hay
que cambiarlo en otro sitio?
Agradecería cualquier indicación para solucionar
este problema. Hasta luego, linuxeros :))
|