-
Rota VPN
Pessoal já fechei o tunel vpn e eles ja trocar dados porem eu so consigo pingar o servidor da vpn as maquinas da rede não
Ex rede 192.168.0.3 é meu tunel vpn
Rede 1 - ip do tunel 192.168.3.250
Rede 2 - ip do tunel 192.168.3.20
Ping entre eles ok
bells:/# ping 192.168.3.20
PING 192.168.3.20 (192.168.3.20) 56(84) bytes of data.
64 bytes from 192.168.3.20: icmp_seq=1 ttl=64 time=0.599 ms
64 bytes from 192.168.3.20: icmp_seq=2 ttl=64 time=0.394 ms
Lan da Rede 1 - 192.168.1.250
Lan da Rede 2 - 192.168.2.250
Eu consigo pingar apenas o ip da placa rede dos servidor, qualquer outra estação qualquer não pinga, segue meu firewall, vlw pela força
iptables -A FORWARD -i ppp+ -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A INPUT -p udp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT
Vlw !!!
-
Aqui eu uso uma maquina na rede interna com VPN
$IPTABLES -I INPUT -p 47 -j ACCEPT
$IPTABLES -I FORWARD -p 47 -d 192.168.0.3 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -p 47 -j DNAT --to-dest 192.168.0.3
$IPTABLES -I FORWARD -p tcp --dport 1701 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i eth2 -p udp --dport 1701 -j DNAT --to-dest 192.168.0.3
$IPTABLES -t mangle -A PREROUTING -p tcp -s 192.168.0.3 --sport 1701 -j ACCEPT
$IPTABLES -I FORWARD -p tcp --dport 1723 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i eth2 -p tcp --dport 1723 -j DNAT --to-dest 192.168.0.3
$IPTABLES -t mangle -A PREROUTING -p tcp -s 192.168.0.3 --sport 1723 -j ACCEPT
1 - Verifica se não esta com a proteção contra ping.
2 - Não teria que ter uma FORWARD para essas portas 47, 1701, 1723 ?
-
Rede interna ta blz, agora foda é o tunel que vem da internet !!!
acho que preciso de um POSTROUTING mais não sei como.
-
Segue me firewall oque ta errado ?
#Ativando Nat
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.1.0 -d 192.168.3.0 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Rota rede Warehouse
ip route add 192.168.2.0/24 via 192.168.1.251
ip route add 192.168.3.0/24 via 192.168.3.250
#Portas de INPUT Free
#loopback
iptables -A INPUT -i lo -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#TS RDP WEB
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to 192.168.1.249:8080
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#FTP
#FTP
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
#DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
#SAMBA
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
#VPNs
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p udp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
#iptables -A FORWARD -p tcp -s 192.168.3.0/24 -d 192.168.3.250 --dport 1723 -j ACCEPT
#iptables -A FORWARD -p 47 -s 192.168.3.0/24 -d 192.168.3.250 -j ACCEPT
#Rede Local Free
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT
#Fecha o resto
-
Cara, fica difícil te ajudar sem saber por quais interfaces saem a VPN, que tipo de VPN foi feita, quem está fazendo a VPN entre outras coisas.
Faz um diagrama ai identificando o FW e suas interfaces, os servers de VPN e as interfaces internas pra gente tentar te ajudar.
Até mais...