Liberar protocolo 50 (ESP)

Na minha vpn consigo fechar o tunel mas nao consigo que as redes se pinguem. Quando mudo minha politica padrao de FORWARD para ACCEPT, consigo pingar entre essas redes e quando vejo o resultado no iptraf, as conexões passam com o protocolo 50. O IPSec em modo túnel utiliza o protocolo número 50 (ESP) para encriptar os dados do pacote IP.
Ao voltar minha politica padrao de FORWARD para DROP e liberar o protocolo 50 com o comando iptables -A FORWARD -p 50 -j ACCEPT, nao consigo pingar novamente.
Alguem ja passou por isso? Teria que liberar mais alguma coisa?

Obrigado a todos!!

iptables -t mangle -A FORWARD -p 50 -j ACCEPT

:)

Citação:

---

iptables -t mangle -A FORWARD -p 50 -j ACCEPT

---

Minha tabela mangle esta com as chains todas ACCEPT. Não é necessario colocar a regra acima.
Veja o resultado de um ping no iptraf do fw com as regras abertas:

IP protocol 50 (112 bytes) from 201.x.x.x to 201.x.x.x on ppp0
IP protocol 50 (112 bytes) from 201.x.x.x to 201.x.x.x on ppp0
IP protocol 50 (112 bytes) from 201.x.x.x to 201.x.x.x on ppp0
...

Depois, quando volto minha politicas padrao para DROP, nao consigo mais pingar.

Cara se a VPN for IPSec tem que liberar uma serie de protocolos nao somente o ESP, tem que liberar o AH tambem, dependendo do tipo dela. Nao me lembro muito bem quais outras portas precisam, mas é so esses 2 protocolos no caso do IPSec

Fera, sinceramente nao sei mais o que fazer e nem quais portas mais liberar. No link http://wiki.openswan.org/index.php/Firewalls tem as portas aconselháveis para liberar. Ja liberei todas e nada. Falta algum detalhe muito pequeno.... :x

## VPN
$IPT -t filter -A INPUT -p 17 -s 205.0.0.254 -d 202.1.2.3 -j ACCEPT
$IPT -t filter -A OUTPUT -p 17 -d 205.0.0.254 -s 202.1.2.3 -j ACCEPT
## Negociacao IKE
$IPT -t filter -A INPUT -p udp -s 205.0.0.254 --dport 500 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp -d 205.0.0.254 --sport 500 -j ACCEPT
## AH/ESP
$IPT -t filter -A INPUT -p 50 -s 205.0.0.254 -d 202.1.2.3 -j ACCEPT
$IPT -t filter -A OUTPUT -p 50 -d 205.0.0.254 -s 202.1.2.3 -j ACCEPT
$IPT -t filter -A INPUT -p 51 -s 205.0.0.254 -d 202.1.2.3 -j ACCEPT
$IPT -t filter -A OUTPUT -p 51 -d 205.0.0.254 -s 202.1.2.3 -j ACCEPT

Liberei estas portas e protocolos e ainda nada!! Ta foda!!

Pois é galera o problema nao é porta e sim protocolo. Veja o que eu fiz:

Numa ponta liberei a forward para todas as portas ate a porta 65534
iptables -A FORWARD -p 17 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
iptables -A FORWARD -p 50 -j ACCEPT
iptables -A FORWARD -p 51 -j ACCEPT
iptables -A FORWARD -p tcp --dport 0:65534 -j ACCEPT
iptables -A FORWARD -p udp --dport 0:65534 -j ACCEPT

Na outra liberei a input para todas as portas ate a porta 65534
iptables -A INPUT -p 17 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -p tcp --dport 0:65534 -j ACCEPT
iptables -A INPUT -p udp --dport 0:65534 -j ACCEPT

Depois startei um ping de uma ponta a outra e nada. Tem algum protocolo no meio que preciso liberar...

Parece gambiarra essa de liberar todas as portas ate 65534 mas nao é nao. É só pq quando mudo a politica padra do FORWARD de um lado e INPUT na outra para ACCEPT funciona.

Agora fiz o contrario, mudei minha politica padrao de INPUT e FORWARD para ACCEPT e fui bloqueando a porta 500 com protocolo udp, protocolo 17, 47, 50 e 51 e ainda assim passa trafego. Não são eles mesmo que estao bloqueando.
Ta foda!!

tcpdump -n host ip

monitora o trafego e veja o que eh !!!

porque vc nao posta sus regras completas para todos poder ver oq pode ta acontecendo as vezes as regras entao no lugar errado

Citação:

---

Postado originalmente por tianguapontocom

porque vc nao posta sus regras completas para todos poder ver oq pode ta acontecendo as vezes as regras entao no lugar errado

---

#Variaveis
IFACE=eth0
LAN=192.168.10.0/24

#Ativar modulos
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp

#Limpar regras
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F

#Alterar policiamento
iptables -P INPUT DROP
iptables -P FORWARD DROP

#Protecao contra syn floods
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#Compartilhar a conexao
iptables -t nat -A POSTROUTING -o $IFACE -s $LAN -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#-----------------------
# Redirecionamentos #
#-----------------------

#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -s $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

#---------------------
# Regras de INPUT #
#---------------------

#Entrar somente o necessario
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#SSH interno
iptables -A INPUT -i eth1 -s $LAN -p tcp --syn --dport 22 -j ACCEPT

#Web
iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 80 -j ACCEPT

#Webmin
iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 10000 -j ACCEPT

#Squid
iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 3128 -j ACCEPT

#PING
iptables -A INPUT -i eth1 -s $LAN -p icmp -j ACCEPT

#-----------------------
# Regras de FORWARD #
#-----------------------

#Passar somente o ncessario
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#DNS
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o $IFACE -s $LAN -p udp --dport 53 -j ACCEPT

#Web
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT

#SSH
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --syn --dport 22 -j ACCEPT

#HTTPS
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 443 -j ACCEPT

#FTP
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 21 -j ACCEPT

#Terminal Server
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 3389 -j ACCEPT

#MSN
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 1863 -j ACCEPT

#Tipic
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 5222 -j ACCEPT

#PING
iptables -A FORWARD -o $IFACE -s $LAN -p icmp -j ACCEPT

imagino que voce ainda nao tenha consiguido fazer funcionar... bom bem aqui tem um tutorialzinho explicando firewalling em ipsec:

http://www.freeswan.org/freeswan_tre...-firewall.html


basicamente é o seguinte , precisa liberar o protocolo ESP (50) e a troca de chaves do IKE (porta udp/500). feito isso é estabilizada a conexao e passa a usar interfaces virtuais com o nome de ipsecX (onde x é o numero do tunnel)

dai para frente nao importaram suas regras de input/output/forward/etc nas ethX e sim nas interfaces ipsec0 que estao sem regras criadas no seu script.

De uma lida na documentação, vai lhe ajudar mto, acredito que vc ainda nao resolveu esse problema. Da um feedback

Citação:

---

imagino que voce ainda nao tenha consiguido fazer funcionar... bom bem aqui tem um tutorialzinho explicando firewalling em ipsec:

http://www.freeswan.org/freeswan_tre...-firewall.html


basicamente é o seguinte , precisa liberar o protocolo ESP (50) e a troca de chaves do IKE (porta udp/500). feito isso é estabilizada a conexao e passa a usar interfaces virtuais com o nome de ipsecX (onde x é o numero do tunnel)

dai para frente nao importaram suas regras de input/output/forward/etc nas ethX e sim nas interfaces ipsec0 que estao sem regras criadas no seu script.

De uma lida na documentação, vai lhe ajudar mto, acredito que vc ainda nao resolveu esse problema. Da um feedback

---

Boa mistymst,
a solução era simples. Com os tuneis estabelecidos bastava criar regras para ipsec0. Muito mole. Nada do que esta abaixo é necessário.

Citação:

---

iptables -A FORWARD -p 17 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
iptables -A FORWARD -p 50 -j ACCEPT
iptables -A FORWARD -p 51 -j ACCEPT
iptables -A FORWARD -p tcp --dport 0:65534 -j ACCEPT
iptables -A FORWARD -p udp --dport 0:65534 -j ACCEPT

iptables -A INPUT -p 17 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -p tcp --dport 0:65534 -j ACCEPT
iptables -A INPUT -p udp --dport 0:65534 -j ACCEPT

---

:-D