Regra para VPN PPTP

[Thiago Gomes]

Pessoal,

Estou com problemas para liberar as portas 47 (GRE) para redirecionar para
o Windows VPN PPTP

Tentei todas essas regras sem sucesso.

eth0 = interface externa
eth1 = interface interna
10.10.10.2 = servidor windows pptp
189.xx.xx.xx = ip externo

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 47 -j ACCEPT

iptables -A FORWARD -p 47 -i eth0 -d 10.10.10.2 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d 189.XX.XX.XX --dport 47 -j
DNAT --to 10.10.10.2

iptables -t nat -A PREROUTING -p UDP -d 189.XX.XX.XX --dport 47 -j
DNAT --to 10.10.10.2

iptables -t nat -A PREROUTING -p TCP -d 189.XX.XX.XX --dport 1723 -j
DNAT --to 10.10.10.2:1723

Ao tentar conectar numa estação fica "Verificando usuario e senha" e
depois é mostrado o erro.

Alguem pode me ajudar nessas regras.

Obrigado

--
Thiago Gomes

[Noilson Caio]

Pelo visto só tem regra de ida, e as de volta ? :P

2009/9/10 Thiago Gomes <thiag...@gmail.com>

--
" Eu quero saber como renomear um arquivo " ele diz.
Por favor, é dia de pagamento, não é?! Mas eu estou de bom humor.
" Claro. Basta dar 'rm' e o nome do arquivo "
" Obrigado "

[Thiago Gomes]

Como ficaria então essas regras, pois deve ter alguma
regra inutil.



2009/9/10 Noilson Caio <caio...@gmail.com>:

--
Thiago Gomes

[Celso Nery]

Amigo faz assim:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 47 -j DNAT
--to-dest 10.10.10.2

Thiago Gomes escreveu:

[Francisco Brasileiro]

Lembre-se que são sempre 3 chains q devem ser liberados, INPUT, OUTPUT e FORWARD, se o seu default ai for DENY então estão faltando as regras liberando o pacote sair pela eth1 com destino ao Windows, observe que em suas regras vc libera apenas na eth0 (entrada).

Falta por exemplo:

iptables -A OUTPUT -p 47 -i eth1 -d 10.10.10.2 -j ACCEPT

Se vc não libera o trafego dos pacotes ESTABLISHED, então tem que liberar explicitamente os pacotes retornarem para a origem, algo como:

iptables -A OUTPUT -i eth1 -sport 47 -s 10.10.10.2 -j ACCEPT
iptables -A OUTPUT -i eth0 -sport 47 -s 10.10.10.2 -j ACCEPT

Pense na comunicacao em cada etapa, entrada, repasse, saida, e libere cada um desses passos, quer seja para a entrada (eth0) quer seja para saida (eth1) quando do trafego no sentido externo interno e tambem a mesma coisa para o sentido interno externo.

{}s Francisco Brasileiro (Kico)

2009/9/10 Thiago Gomes <thiag...@gmail.com>

--
______________________________________________________________________
Francisco Vasconcelos Brasileiro             fran...@brasileiro.adm.br
Assessor Técnico                                     Host do Brasil
http://www.hostdobrasil.com                    Tel. (79) 2107-9950
UIN: 6826562                                          Linux User: #101368

[Thiago Gomes]

Fiz assim agora

iptables -A INPUT -p 47 -j ACCEPT
iptables -t nat -A PREROUTING -p 47 -d 189.XX.XX.XX -j DNAT --to 10.10.0.2
iptables -A FORWARD -p 47 -s 10.10.0.2 -d 189.XX.XX.XX -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 189.XX.XX.XX --dport 1723 -j
DNAT --to 10.10.0.2:1723
iptables -A FORWARD -p tcp -s 10.10.0.2 -d 189.XX.XX.XX --dport 1723 -j ACCEPT

E nao funcionou..li na internet que é problema do protocolo GRE, que
em muitos Kernel não tem suporte nativo é preciso compilar esse
protocolo.

A versao do kernel é 2.4.20-28.7

eh verdade ?

--
Thiago Gomes

[Marcelo]

Thiago,

De uma verificada:

/sbin/modprobe ip_conntrack_pptp
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ip_gre

Para kernel 2.4.x se não me engano tem que aplicar o patch-o-matic em
www.netfilter.org

Abraços,
Marcelo

Thiago Gomes wrote:
> Fiz assim agora
>
> iptables -A INPUT -p 47 -j ACCEPT
> iptables -t nat -A PREROUTING -p 47 -d 189.XX.XX.XX -j DNAT --to 10.10.0.2
> iptables -A FORWARD -p 47 -s 10.10.0.2 -d 189.XX.XX.XX -j ACCEPT
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -d 189.XX.XX.XX --dport 1723 -j
> DNAT --to 10.10.0.2:1723
> iptables -A FORWARD -p tcp -s 10.10.0.2 -d 189.XX.XX.XX --dport 1723 -j ACCEPT
>

> E nao funcionou..li na internet que é problema do protocolo GRE, que
> em muitos Kernel não tem suporte nativo é preciso compilar esse
> protocolo.
>
> A versao do kernel é 2.4.20-28.7
>
> eh verdade ?
>
>
>

---------------------------------------------------------------------
Esta mensagem pode conter informacao confidencial.
Se voce nao for o destinatario ou a pessoa autorizada a receber
esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela
contidas ou tomar qualquer acao baseada nessas informacoes. Se
voce recebeu esta mensagem por engano, favor avisar imediatamente o
remetente, respondendo o e-mail e, em seguida, apague-o.
Agradecemos sua cooperacao.

This message may contain confidential information.
If you are not the addressee or authorized person to receive it for the
addressee, you must not use, copy, disclose or take any action based on
this message or any information herein. If you have received this message
in error, please advise the sender immediately by replying this e-mail
message and delete it.
Thanks in advance for your cooperation.
----------------------------------------------------------------------
LIM16 Faculdade de Medicina USP
----------------------------------------------------------------------

[Celso Nery]

Thiago esquece todas essas regras e faz essa:

iptables -t nat -A PREROUTING -p tcp --dport 47 -j DNAT --to-dest 10.10.0.2

presta a atencao naum eh --to eh --to-dest

Thiago Gomes escreveu:

[Thiago Gomes]

Ao tentar colocar essas opções, acusa erro

modprobe: Can't locate module ip_conntrack_pptp
modprobe: Can't locate module ip_nat_pptp

não entendi como aplicar o patch-o-matic


2009/9/11 Marcelo <ult...@lim16.fm.usp.br>:

--
Thiago Gomes