Aclaraciones acerca de Vpn y cortafuegos.

To: debian-user-spanish <debian-user-spanish@lists.debian.org>
Subject: Aclaraciones acerca de Vpn y cortafuegos.
From: Ala de Dragón <aladedragon@gmail.com>
Date: Fri, 3 Jun 2016 13:54:34 +0200
Message-id: <[🔎] CA+924HSr4C1SCfd3KfckM+sJfbhCM-axVkugeAO2Qm+EeTEfFw@mail.gmail.com>

Buenos días,
Les escribo por si ustedes pueden ayudarme a aclararme las ideas.
El concepto es un servidor hospedado en un datacenter cualquiera y un
cliente que se conecta a una VPN. Ese servidor proporciona una serie
de servicios a los clientes de la vpn, en este caso proporciona proxy
http y uns proxy dns:
Privoxy
Dnsmasq
He intentado un diagrama en
http://paste.debian.net/713696/

La idea es que el cliente utilice de manera transparente ambos
servicios. Se conecta a la vpn y recibe una nueva ruta por defecto
para que todo su trafico se dirija a la vpn.
La primera pregunta que me hice fue:
¿El cortafuegos de la vpn debera redirigir los paquetes de peticiones
http/dns a los servicios comentados?
Me respondí, si. Para hacerlo de manera transparente, sin importar si
en cliente es un celular, un pc.
Pero no termino de entender como fluctua la informacion dentro de iptables.

Tengo un script que me levanta el cortafuegos:

http://paste.debian.net/713699/

veamos el punto acerca de la vpn, corrijanme si mi linea de ideas no
es correcta por favor.

$IPT -A INPUT -i tun+ -j ACCEPT
Acepta todo lo que entre a traves de la interfaz del tunel.

$IPT -A FORWARD -i tun+ -j ACCEPT
Acepta todo lo que se redirija a traves de la interfaz del tunel.

$IPT -A FORWARD -i tun+ -o eth0 -m conntrack --ctstate
RELATED,ESTABLISHED -j ACCEPT
Permite el trafico entre el tunel y la interfaz de red a las
conexiones ya establecidas y relacionadas.
$IPT -A FORWARD -i eth0 -o tun+ -m conntrack --ctstate
RELATED,ESTABLISHED -j ACCEPT
Permite el trafico entre la interfaz de red  y el tunel a las
conexiones ya establecidas y relacionadas.
$IPT -t nat -A POSTROUTING -s $VPNR -o eth0 -j MASQUERADE
***Esta regla la puse a recomendacion en un foro de soporte OPENVPN***
sin ella no me sale de la VPN hacia internet, pero no entiendo su
sintaxis.

Como pueden ver encuanto toco reglas de NAT y ROUTING me pierdo un
poco, a estas alturas ya no se si el trafico que salio del tunel esta
en el servidor, en loopback o en la conchinchina. Y mucho menos como
establecer la reglas de redireccionado de paquetes para que se puedan
usar los servicos de proxy que solo escuchan en la interfaz loopback.

De momento todo esto no mas que garabatos en un papel.

Gracias de antemano y un saludo.






_




-- 
"El cielo es para los dragones
 lo que el agua es  para las ninfas"

Reply to:

Follow-Ups:
- Re: Aclaraciones acerca de Vpn y cortafuegos.
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Fwd: Call for testing: regression update for samba security update (DSA-3548-1)
Next by Date: Re: Instalación de Debian Jessie.
Previous by thread: Fwd: Call for testing: regression update for samba security update (DSA-3548-1)
Next by thread: Re: Aclaraciones acerca de Vpn y cortafuegos.
Index(es):
- Date
- Thread