LINUX.ORG.RU
ФорумAdmin

Доступ к VPN серверу из сети за фаерволом (iptables)


0

0

Есть проблема, прошу совета: Не могу подключиться к VPN серверу в инете с компа. который находится в моей локальной сети за фаерволом (iptables).

Открываю доступ: /sbin/iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT /sbin/iptables -A FORWARD -p 47 -j ACCEPT

но выдает ошибку "Disconnected" Error 619.

Подскажите что открывать надо еще.

Re: Доступ к VPN серверу из сети за фаерволом (iptables)

Версия ядра linux какая?

anonymous ()

Re: Доступ к VPN серверу из сети за фаерволом (iptables)

iptables -A FORWARD -j LOG еще логирование включил, вижу, что с адреса локальной машины идут пакеты на тот ВПН сервер по протоколу 47. Что интересно один раз выскочила другая ошибка 806, говорящая, что соединение было установлено, но ГРЕ (47) протокол где-то не пропускается ...

Но я еще разрешил ГРЕ (47) протокол в INPUT и OUTPUT. не знаю, надо ли ...

anonymous ()

Re: Доступ к VPN серверу из сети за фаерволом (iptables)

Сравнил со своим - у тебя все правильно сделано.

Должно работать на раз. У меня точно так же открыто и все работает.

Может быть у тебя соединения ESTABLISHED,RELATED не на все порты открыты?

P.S. Давай весь firewall, что ли, без критических для безопасности частей.

jackill ★★★★★ ()

Re: Доступ к VPN серверу из сети за фаерволом (iptables)

Может все просто - провайдер запрещает ? Как билайн, например, у них через гпрс впн соединение не установишь. Тогда долбить провайдера, на предмет закрытых портов.

Yakuza ()

Re: Доступ к VPN серверу из сети за фаерволом (iptables)

это мой конфиг, может что кому подскажет ... Провайдер ГРЕ протокол не закрывает, так сказали.:

#!/bin/sh # # This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here if you don't # want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

# setup masquerade /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # firewall

EXT_IP=213.167.xxx.x LOCALNET_IP=192.168.1.0/24

/sbin/iptables -F INPUT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port netbios-ns:netbios-ssn -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p udp --destination-port netbios-ns:netbios-ssn -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port 6000:6009 -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port cvspserver -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port squid -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port svn -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port www -j REJECT /sbin/iptables -A INPUT -p icmp --in-interface eth0 --icmp-type timestamp-request -j REJECT /sbin/iptables -A INPUT --in-interface eth0 -d ! $EXT_IP -j DROP

# /sbin/iptables -A INPUT -p 47 -j ACCEPT

/sbin/iptables -F FORWARD /sbin/iptables -P FORWARD DROP /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# /sbin/iptables -A FORWARD -j LOG

# POP3 /sbin/iptables -A FORWARD -s note -p tcp -d mail.gala.net --destination-port pop3 -j ACCEPT

# IMAP /sbin/iptables -A FORWARD -s sert -p tcp -d ua.fm --destination-port imap -j ACCEPT

/sbin/iptables -A FORWARD -s $LOCALNET_IP -p tcp --destination-port 5222:5223 -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port ssh -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port cvspserver -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port squid -j ACCEPT

# SMTP /sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port smtp -j ACCEPT /sbin/iptables -A FORWARD -s notebook -p tcp --destination-port smtp -j ACCEPT

# ICQ /sbin/iptables -A FORWARD -s note1 -p tcp --destination-port 5190 -j REJECT

/sbin/iptables -A FORWARD -s $LOCALNET_IP -p tcp --destination-port 5190 -j ACCEPT

# FTP /sbin/modprobe ip_nat_ftp /sbin/iptables -A FORWARD -s dc12 -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT /sbin/iptables -A FORWARD -s dc12 -d powermagic.com.ua -p tcp --destination-port ftp -j ACCEPT /sbin/iptables -A FORWARD -s user1 -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT /sbin/iptables -A FORWARD -s 102t -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT

# RDP /sbin/iptables -A FORWARD -s 212.90.165.146 -d dc12 -p tcp --destination-port 54239 -j ACCEPT /sbin/iptables -A FORWARD -s 198.47.181.223 -d dc12 -p tcp --destination-port 54239 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 54237 -j DNAT --to 192.168.1.202:54239

# VPN access

/sbin/iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT # /sbin/iptables -A FORWARD -p tcp --sport 1723 -j ACCEPT /sbin/iptables -A FORWARD -p 47 -j ACCEPT

/sbin/iptables -F OUTPUT /sbin/iptables -A OUTPUT -p icmp --out-interface eth0 --icmp-type timestamp-reply -j REJECT /sbin/iptables -A OUTPUT -d 224.0.0.0/8 -j DROP /sbin/iptables -A OUTPUT -p tcp --destination-port 28902 -j REJECT /sbin/iptables -A OUTPUT -p udp --destination-port 28902 -j REJECT /sbin/iptables -A OUTPUT -o eth0 -p icmp --icmp-type ! 8 -j DROP

# /sbin/iptables -A OUTPUT -p 47 -j ACCEPT

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.