+ Responder ao Tópico



  1. #1

    Padrão Liberar protocolo 50 (ESP)

    Na minha vpn consigo fechar o tunel mas nao consigo que as redes se pinguem. Quando mudo minha politica padrao de FORWARD para ACCEPT, consigo pingar entre essas redes e quando vejo o resultado no iptraf, as conexões passam com o protocolo 50. O IPSec em modo túnel utiliza o protocolo número 50 (ESP) para encriptar os dados do pacote IP.
    Ao voltar minha politica padrao de FORWARD para DROP e liberar o protocolo 50 com o comando iptables -A FORWARD -p 50 -j ACCEPT, nao consigo pingar novamente.
    Alguem ja passou por isso? Teria que liberar mais alguma coisa?

    Obrigado a todos!!

  2. #2

    Padrão Re: Liberar protocolo 50 (ESP)

    iptables -t mangle -A FORWARD -p 50 -j ACCEPT




  3. #3

    Padrão Re: Liberar protocolo 50 (ESP)

    iptables -t mangle -A FORWARD -p 50 -j ACCEPT
    Minha tabela mangle esta com as chains todas ACCEPT. Não é necessario colocar a regra acima.
    Veja o resultado de um ping no iptraf do fw com as regras abertas:

    IP protocol 50 (112 bytes) from 201.x.x.x to 201.x.x.x on ppp0
    IP protocol 50 (112 bytes) from 201.x.x.x to 201.x.x.x on ppp0
    IP protocol 50 (112 bytes) from 201.x.x.x to 201.x.x.x on ppp0
    ...

    Depois, quando volto minha politicas padrao para DROP, nao consigo mais pingar.

  4. #4

    Padrão Re: Liberar protocolo 50 (ESP)

    Cara se a VPN for IPSec tem que liberar uma serie de protocolos nao somente o ESP, tem que liberar o AH tambem, dependendo do tipo dela. Nao me lembro muito bem quais outras portas precisam, mas é so esses 2 protocolos no caso do IPSec



  5. #5

    Padrão Re: Liberar protocolo 50 (ESP)

    Fera, sinceramente nao sei mais o que fazer e nem quais portas mais liberar. No link http://wiki.openswan.org/index.php/Firewalls tem as portas aconselháveis para liberar. Ja liberei todas e nada. Falta algum detalhe muito pequeno.... :x

  6. #6

    Padrão Re: Liberar protocolo 50 (ESP)

    ## VPN
    $IPT -t filter -A INPUT -p 17 -s 205.0.0.254 -d 202.1.2.3 -j ACCEPT
    $IPT -t filter -A OUTPUT -p 17 -d 205.0.0.254 -s 202.1.2.3 -j ACCEPT
    ## Negociacao IKE
    $IPT -t filter -A INPUT -p udp -s 205.0.0.254 --dport 500 -j ACCEPT
    $IPT -t filter -A OUTPUT -p udp -d 205.0.0.254 --sport 500 -j ACCEPT
    ## AH/ESP
    $IPT -t filter -A INPUT -p 50 -s 205.0.0.254 -d 202.1.2.3 -j ACCEPT
    $IPT -t filter -A OUTPUT -p 50 -d 205.0.0.254 -s 202.1.2.3 -j ACCEPT
    $IPT -t filter -A INPUT -p 51 -s 205.0.0.254 -d 202.1.2.3 -j ACCEPT
    $IPT -t filter -A OUTPUT -p 51 -d 205.0.0.254 -s 202.1.2.3 -j ACCEPT





  7. #7

    Padrão Re: Liberar protocolo 50 (ESP)

    Liberei estas portas e protocolos e ainda nada!! Ta foda!!

  8. #8

    Padrão Re: Liberar protocolo 50 (ESP)

    Pois é galera o problema nao é porta e sim protocolo. Veja o que eu fiz:

    Numa ponta liberei a forward para todas as portas ate a porta 65534
    iptables -A FORWARD -p 17 -j ACCEPT
    iptables -A FORWARD -p 47 -j ACCEPT
    iptables -A FORWARD -p 50 -j ACCEPT
    iptables -A FORWARD -p 51 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 0:65534 -j ACCEPT
    iptables -A FORWARD -p udp --dport 0:65534 -j ACCEPT

    Na outra liberei a input para todas as portas ate a porta 65534
    iptables -A INPUT -p 17 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT
    iptables -A INPUT -p 50 -j ACCEPT
    iptables -A INPUT -p 51 -j ACCEPT
    iptables -A INPUT -p tcp --dport 0:65534 -j ACCEPT
    iptables -A INPUT -p udp --dport 0:65534 -j ACCEPT

    Depois startei um ping de uma ponta a outra e nada. Tem algum protocolo no meio que preciso liberar...

    Parece gambiarra essa de liberar todas as portas ate 65534 mas nao é nao. É só pq quando mudo a politica padra do FORWARD de um lado e INPUT na outra para ACCEPT funciona.



  9. #9

    Padrão Re: Liberar protocolo 50 (ESP)

    Agora fiz o contrario, mudei minha politica padrao de INPUT e FORWARD para ACCEPT e fui bloqueando a porta 500 com protocolo udp, protocolo 17, 47, 50 e 51 e ainda assim passa trafego. Não são eles mesmo que estao bloqueando.
    Ta foda!!

  10. #10

    Padrão Re: Liberar protocolo 50 (ESP)

    tcpdump -n host ip

    monitora o trafego e veja o que eh !!!



  11. #11

    Padrão Re: Liberar protocolo 50 (ESP)

    porque vc nao posta sus regras completas para todos poder ver oq pode ta acontecendo as vezes as regras entao no lugar errado

  12. #12

    Padrão Re: Liberar protocolo 50 (ESP)

    Citação Postado originalmente por tianguapontocom
    porque vc nao posta sus regras completas para todos poder ver oq pode ta acontecendo as vezes as regras entao no lugar errado
    #Variaveis
    IFACE=eth0
    LAN=192.168.10.0/24

    #Ativar modulos
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_nat_ftp

    #Limpar regras
    iptables -t nat -F
    iptables -t filter -F
    iptables -t mangle -F

    #Alterar policiamento
    iptables -P INPUT DROP
    iptables -P FORWARD DROP

    #Protecao contra syn floods
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    #Compartilhar a conexao
    iptables -t nat -A POSTROUTING -o $IFACE -s $LAN -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #-----------------------
    # Redirecionamentos #
    #-----------------------

    #Proxy transparente
    iptables -t nat -A PREROUTING -i eth1 -s $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

    #---------------------
    # Regras de INPUT #
    #---------------------

    #Entrar somente o necessario
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #SSH interno
    iptables -A INPUT -i eth1 -s $LAN -p tcp --syn --dport 22 -j ACCEPT

    #Web
    iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 80 -j ACCEPT

    #Webmin
    iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 10000 -j ACCEPT

    #Squid
    iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 3128 -j ACCEPT

    #PING
    iptables -A INPUT -i eth1 -s $LAN -p icmp -j ACCEPT

    #-----------------------
    # Regras de FORWARD #
    #-----------------------

    #Passar somente o ncessario
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #DNS
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o $IFACE -s $LAN -p udp --dport 53 -j ACCEPT

    #Web
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT

    #SSH
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --syn --dport 22 -j ACCEPT

    #HTTPS
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 443 -j ACCEPT

    #FTP
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 21 -j ACCEPT

    #Terminal Server
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 3389 -j ACCEPT

    #MSN
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 1863 -j ACCEPT

    #Tipic
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 5222 -j ACCEPT

    #PING
    iptables -A FORWARD -o $IFACE -s $LAN -p icmp -j ACCEPT



  13. #13

    Padrão Re: Liberar protocolo 50 (ESP)

    imagino que voce ainda nao tenha consiguido fazer funcionar... bom bem aqui tem um tutorialzinho explicando firewalling em ipsec:

    http://www.freeswan.org/freeswan_tre...-firewall.html


    basicamente é o seguinte , precisa liberar o protocolo ESP (50) e a troca de chaves do IKE (porta udp/500). feito isso é estabilizada a conexao e passa a usar interfaces virtuais com o nome de ipsecX (onde x é o numero do tunnel)

    dai para frente nao importaram suas regras de input/output/forward/etc nas ethX e sim nas interfaces ipsec0 que estao sem regras criadas no seu script.

    De uma lida na documentação, vai lhe ajudar mto, acredito que vc ainda nao resolveu esse problema. Da um feedback

  14. #14

    Padrão Re: Liberar protocolo 50 (ESP)

    imagino que voce ainda nao tenha consiguido fazer funcionar... bom bem aqui tem um tutorialzinho explicando firewalling em ipsec:

    http://www.freeswan.org/freeswan_tre...-firewall.html


    basicamente é o seguinte , precisa liberar o protocolo ESP (50) e a troca de chaves do IKE (porta udp/500). feito isso é estabilizada a conexao e passa a usar interfaces virtuais com o nome de ipsecX (onde x é o numero do tunnel)

    dai para frente nao importaram suas regras de input/output/forward/etc nas ethX e sim nas interfaces ipsec0 que estao sem regras criadas no seu script.

    De uma lida na documentação, vai lhe ajudar mto, acredito que vc ainda nao resolveu esse problema. Da um feedback
    Boa mistymst,
    a solução era simples. Com os tuneis estabelecidos bastava criar regras para ipsec0. Muito mole. Nada do que esta abaixo é necessário.

    iptables -A FORWARD -p 17 -j ACCEPT
    iptables -A FORWARD -p 47 -j ACCEPT
    iptables -A FORWARD -p 50 -j ACCEPT
    iptables -A FORWARD -p 51 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 0:65534 -j ACCEPT
    iptables -A FORWARD -p udp --dport 0:65534 -j ACCEPT

    iptables -A INPUT -p 17 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT
    iptables -A INPUT -p 50 -j ACCEPT
    iptables -A INPUT -p 51 -j ACCEPT
    iptables -A INPUT -p tcp --dport 0:65534 -j ACCEPT
    iptables -A INPUT -p udp --dport 0:65534 -j ACCEPT
    :-D