Slack firewall vpn

2 views
Skip to first unread message

Daniel

unread,
Nov 14, 2009, 7:28:07 AM11/14/09
to slack-u...@googlegroups.com
Saudações Slacks, gostaria de uma ajuda sobre o netfilter (iptables) com relação a redirecionamento para vpn. Vou explicar o cenário para que vocês possam me ajudar se possível (e agradeço qualquer ajuda):

Tenho 3 placas de redes, sendo 1 ip virtual:

Rede local (eth0): 192.168.1.0/24
Rede Wan1 (eth1): 10.49.7.0/24
Rede Wan2 (eth1:1): 10.49.10.0/8
Rede Wan3 (eth2): 172.28.33.0/27

Preciso fazer um redirecionamento via nat, do ip 172.28.1.1 para o ip 172.28.33.70, e estou resolvendo no dns um certo site para esse ip 172.28.1.1, quando chegar no firewall, irá redirecionar tudo que vinher para porta 80 e 443 para o ip 172.28.33.70 que é um roteador com link direto em uma vpn.

Minha regra de firewall está assim:
iptables -t nat -A PREROUTING -d 172.28.1.1 -p tcp -m multiport --dport 80,433 -j DNAT --to-destination 172.28.33.70
iptables -t nat -A POSTROUTING -d 172.28.33.70 -p tcp -m multiport --dport 80,433 -j SNAT --to 192.168.1.1

Adicionei a seguinte rota no firewall:
route add -net 172.28.1.0/24 gw 172.28.33.70

Ou seja quando eu acesar a url (que é resolvido no dns como 172.28.1.1), eu faço o redirecionamento desse ip para o ip do roteador 172.33.28.70 que vai acessar a vpn e trazer o site desejado, a resposta será redirecionada para o próprio firewall que deveria repassar para o pc dentro da minha rede local.

Mas só funciona no firewall (testei usando o links), pois quando tento acessar de um computador dentro da minha rede interna (192.168.1.0/24) não consigo. Testei o ping para url, e está aparentemente tudo certo, ele joga o pacote icmp para 172.28.1.1, chega no firewall e é redirecionado para o roteador mas dá time out na página, pois não consigo acessar, como se não hovese uma resposta para o pc que requisitou a página na vpn.

Em resumo: o roteador só tráz a página que está em uma vpn, se for acessado pelo o ip 172.28.1.1 sendo redirecionado par ao ip do roteador e na porta 80 e 443. Como poderia liberar para a rede interna e as outras vpns? Preciso adicionar outas regras? Se puderem me ajudar ficarei como sempre eternamente grato. Aguardo respostas.

Valeu Slacks!

--
Keep it simple stupid!

Hav0k

unread,
Nov 15, 2009, 8:17:01 PM11/15/09
to slack-u...@googlegroups.com
o seu firewall recebeu este ip via dhcp?
por acaso essas redes sao providas pelo Sonic Wall da Volks?

quais ips estao atribuidos ao seu firewall e quais gateways?


2009/11/14 Daniel <d4n1h...@gmail.com>

Daniel

unread,
Nov 15, 2009, 8:38:54 PM11/15/09
to slack-u...@googlegroups.com
Bem esses ips são vpns providas pelo governo estadual e federal..., são todos fixos (setado diretamente em /etc/rc.d/rc.inet1.conf). O gateway que uso é do link dentro da rede 10.49.7.0/24, no caso 10.49.7.1. Meu problema é distribuir o acesso a vpn que acessa o roteador para a rede local, que no estado atual não acontece, somente consigo no firewall que tem uma placa com ip dentro da faixa de ip do roteador, nas redes não consigo.

2009/11/15 Hav0k <juni...@gmail.com>

Fabio Oliveira

unread,
Nov 16, 2009, 4:45:08 AM11/16/09
to Slackware Users Group - Brazil
Daniel,
me parece problema de rota de retorno... verifique nos dois firewalls
que compôem a vpn, talvez a resposta esteja chegando somente no
firewall pelo ip da vpn.

abçs

On 15 nov, 23:38, Daniel <d4n1h4c...@gmail.com> wrote:
> Bem esses ips são vpns providas pelo governo estadual e federal..., são
> todos fixos (setado diretamente em /etc/rc.d/rc.inet1.conf). O gateway que
> uso é do link dentro da rede 10.49.7.0/24, no caso 10.49.7.1. Meu problema é
> distribuir o acesso a vpn que acessa o roteador para a rede local, que no
> estado atual não acontece, somente consigo no firewall que tem uma placa com
> ip dentro da faixa de ip do roteador, nas redes não consigo.
>
> 2009/11/15 Hav0k <junior...@gmail.com>
>
>
>
> > o seu firewall recebeu este ip via dhcp?
> > por acaso essas redes sao providas pelo Sonic Wall da Volks?
>
> > quais ips estao atribuidos ao seu firewall e quais gateways?
>
> > 2009/11/14 Daniel <d4n1h4c...@gmail.com>

Luiz Antonio

unread,
Nov 16, 2009, 10:44:34 AM11/16/09
to slack-u...@googlegroups.com
Se eu entendi direito o fw acessa, mas a rede interna não. Eh isso?
Como esta sua tabela de forward?

Fico no aguardo
--
Luiz Antonio Oliveira
aka redhate
Linux User #347508
aMSN: lanto...@gmx.com
Licq: 251384040

Daniel

unread,
Nov 17, 2009, 1:36:09 PM11/17/09
to slack-u...@googlegroups.com
Exatamente Luiz, estou montando outro firewall mais detalahado..., que irá substituir o anterior (que estou testando...) que está com todas as chains da tabela Filter, com política padrão Accept, tratando portas especificas somente, entre outros. Mas já coloquei explicitamente Accept na chain forward para a placa que está a vpn, tentei usar algumas regras com ip route, mas continua no mesmo cenário.

Obs.: No firewall só consigo acessar se colocar uma rota da rede 172.28.1.0/24 para o gateway 172.28.33.70. Como já falaram, eu desconfio que seja a resposta para o pc solicitante, mas há a regra de Snat para retonro..., tá tenso...rss.

Obrigado pelas respostas, quem tiver mais dicas para uma possível solução eu agradeço. Enquanto isso vou tentanto e tentando..., google na veia e etc.

2009/11/16 Luiz Antonio <red...@gmail.com>

Rafael Tomelin

unread,
Nov 20, 2009, 5:31:06 AM11/20/09
to slack-u...@googlegroups.com
Daniel,

Pelo que percebi você tem serios problemas de configurações, tais como:

OBS.: roteamento é diferente do que redirecionamento

No caso abaixo, você terá que ter 2 DNAT, um de entrada e outro de saída.


"
Preciso fazer um redirecionamento via nat, do ip 172.28.1.1 para o ip 172.28.33.70, e estou resolvendo no dns um certo site para esse ip 172.28.1.1, quando chegar no firewall, irá redirecionar tudo que vinher para porta 80 e 443 para o ip 172.28.33.70 que é um roteador com link direto em uma vpn.
"

Qual a POLITICA do teu FIREWALL, é bloquear tudo?
Liberou teu FORWARD entre as redes?
Tentou fazer um TRACEROUTE?
E verifica as conexões com o TCPDUMP?



2009/11/17 Daniel <d4n1h...@gmail.com>



--
Att,
Rafael Tomelin
Tel.: 51-84104084
Skype: rafael.tomelin

Daniel

unread,
Nov 20, 2009, 6:48:13 AM11/20/09
to slack-u...@googlegroups.com
Bem pessoal eu consegui resolver o problema, as regras do firewall estão corretas e as rotas também, só tive que setar o proxy nos clientes e funcionou. Obrigado a todos! Valeu mais uma vez Slacks!

2009/11/20 Rafael Tomelin <rafael....@gmail.com>
Reply all
Reply to author
Forward
0 new messages