+ Responder ao Tópico



  1. Galera, ja postei essa duvida aqui, mas vou colocar de novo pois ainda nao resolvi o problema.
    Tenho o seguinte cenário:

    Firewall A
    ip: 10.0.0.110
    subrede atras do NAT: 192.168.10.0/24

    Firewall B
    ip: 10.0.0.120
    subrede atras do NAT: 192.168.20.0/24


    Regras nos dois firewalls (apenas a nivel de teste)

    Firewall A
    # Variaveis
    IFACE=eth0
    LAN=192.168.10.0/24

    # Ativar modulos
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_nat_ftp

    # Limpar regras
    iptables -t nat -F
    iptables -t filter -F
    iptables -t mangle -F

    # Alterar policiamento
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT

    # Compartilhar a conexao
    iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #---------------------
    # Regras de INPUT #
    #---------------------

    # Entrar somente o necessario
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # SSH
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

    # Ping
    iptables -A INPUT -p icmp -j ACCEPT

    iptables -A INPUT -i ipsec0 -p tcp -j ACCEPT
    iptables -A INPUT -i ipsec0 -p tcp --dport 500 -j ACCEPT
    iptables -A INPUT -i ipsec0 -p udp --dport 500 -j ACCEPT

    #-----------------------
    # Regras de FORWARD #
    #-----------------------

    # Passar somente o necessario
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # DNS
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o $IFACE -s $LAN -p udp --dport 53 -j ACCEPT

    # Web
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT

    # SSH
    iptables -A FORWARD -p tcp --syn --dport 22 -j ACCEPT

    # PING
    iptables -A FORWARD -p icmp -j ACCEPT

    iptables -A FORWARD -o ipsec0 -p tcp -j ACCEPT
    iptables -A FORWARD -o ipsec0 -p tcp --dport 500 -j ACCEPT
    iptables -A FORWARD -o ipsec0 -p udp --dport 500 -j ACCEPT

    * Nao vou postar as regras do Firewall B, pois so muda essa linha:
    LAN=192.168.20.0/24

    O que acontece é que, quando os dois fw estao com as politicas de INPUT e FORWARD como DROP, a rede 192.168.10.0/24 nao enxerga, por exemplo com um ping, a rede 192.168.20.0/24.

    Quando eu mudo no Firewall A a politica do FORWARD para ACCEPT e no Firewall B a INPUT para ACCEPT, consigo pingar.

    O que sera que falta liberar nas regras?

    Agradeço a todos, pois estou preciando demais dessa solução!

  2. Qual aplicativo está usando para fazer a VPN ?




  3. openswan

  4. Galera,

    nem acredito: ENFIM RESOLVIDO O PROBLEMA!!

    Faltaram as linhas:

    #--------------------------------
    # VPN - Regras de INPUT #
    #--------------------------------

    # IKE negociations
    iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT

    # ESP encryption and authentication
    iptables -I INPUT -p 50 -j ACCEPT

    iptables -A INPUT -i ipsec0 -j ACCEPT

    #-------------------------------------
    # VPN - Regras de FORWARD #
    #-------------------------------------

    # IKE negociations
    iptables -I FORWARD -p udp --sport 500 --dport 500 -j ACCEPT

    # ESP encryption and authentication
    iptables -I FORWARD -p 50 -j ACCEPT

    iptables -A FORWARD -o ipsec0 -j ACCEPT
    iptables -A FORWARD -i ipsec0 -j ACCEPT
    Venci a batalha! :-D






Tópicos Similares

  1. Respostas: 7
    Último Post: 06-07-2010, 10:55
  2. Problemas com VPN
    Por Ronald Potier no fórum Servidores de Rede
    Respostas: 1
    Último Post: 11-12-2004, 14:42
  3. Problema com VPN IPSEC - FREESWAN
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 04-09-2004, 14:16
  4. Problemas com VPN
    Por b1N4r1_w0rm no fórum Servidores de Rede
    Respostas: 2
    Último Post: 09-08-2004, 09:50
  5. Problemas com VPN
    Por Kandango no fórum Servidores de Rede
    Respostas: 0
    Último Post: 16-07-2004, 11:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L