Страница 1 из 2
Red Hat 7.3 & iptables
Добавлено: 17 ноя 2004, 12:06
Agronom
у меня есть маршрутизатор на линуксе с dhcpd с iptables и VPN сервер (пптп) на винде за этим ним
задача: нада разрешить только впн соединение через этот самый маршрутизатор
проблемма: НЕ ПОЛУЧАЕТСЯ!!
если быть более точным, то... насколько я знаю впн через пптп использует 1723 TCP порт, но если я разрешаю форвардить только его, соединение осуществляется, но как только машина ребутится и получает либо новый ИП либо происходит просто рубут, то впн подвисает на верифаинг юсер нэйм энд паасворд =) и всё....
при полном форварде всё работает....
Добавлено: 17 ноя 2004, 12:56
Agronom
пли объясните плз как настроить логирование в iptables
-A FOWRWARD -p tcp -j LOG --log-level info при перезапуке iptables выводит онного из строя...
Добавлено: 17 ноя 2004, 13:10
Llama
Agronom, во избежание лишнегог геморроя, следует поставить свежее ядро и соответсвующую версию iptables. Если это уже сделано, то укажи версию того и другого.
Добавлено: 17 ноя 2004, 13:16
Agronom
этого не сделано....
iptables - 1.2.3
kernel - 2.4.7-10
ессессно очень желательно не перекопиливать ядро и сделать всё теми средствами шо у нас уже имеются.. =)
хотя еси нада...
Добавлено: 17 ноя 2004, 13:21
Llama
так что у тебя не работает-то? Пакеты в лог не падают? или syslod дохнет?
Добавлено: 17 ноя 2004, 13:32
Agronom
пакеты не то шо в лог не падают, при добавлении правила которое должно эти самые пакеты в лог кидать iptables просто падает... =(
Добавлено: 17 ноя 2004, 14:16
Agronom
народ, плз хелп!!! мне с этим до вечера разобратся нада...
хер с ним с логированием, впн в первую очередь...
у меня есть маршрутизатор на линуксе с dhcpd с iptables и VPN сервер (пптп) на винде за этим ним
задача: нада разрешить только впн соединение через этот самый маршрутизатор
проблемма: НЕ ПОЛУЧАЕТСЯ!!
если быть более точным, то... насколько я знаю впн через пптп использует 1723 TCP порт, но если я разрешаю форвардить только его, соединение осуществляется, но как только машина ребутится и получает либо новый ИП либо происходит просто рубут, то впн подвисает на верифаинг юсер нэйм энд паасворд =) и всё....
Добавлено: 17 ноя 2004, 14:20
Llama
Какая машина ребутится? Маршрутизатор, vpn-client или vpn-server. В любом случае рекомендовал бы обновить ядро и iptables, тем более что 2.4.7 уже много лет как безнадежно локально-уязвимое, да и удаленные дыры могут быть, напрмер в коде nfs.
Добавлено: 17 ноя 2004, 16:24
Agronom
я наверное вас запутал =)
ничего не ребутится!
основоная проблемма из которой вытекли все здесь указанные:
идет ВПН соединение через маршрутизатор на линуксе к серверу на винде СОЕДИНЕНИЕ ИДеТ ОТЛИЧНО !!!НО!!! только тогда, когда в iptables включен полный форвард... как только я запрещаю файрволом форвард всего и оставляю только форвард 1723 TCP порта (PPTP)у вновь подключающихся ВПН клиентов соединение подвисает на `Verifiing username and password ` а машина которая подсоеденилась продолжает нормально подключаться но только до тех пор, пока её не перезагрузить....
логи файрвола мне были нужны шобы понять, че всётаки он отметает и почему соединение нормально установится не может... т.к. коннект всётаки есть, но какой-то неполный....
короче первоочередная моя задача это настроить нормальную работу маршрутизатора, всё остальное уже работает отлично, уверен!!!
и к моему огромному сожалению это нада настроить до вечера....
плз, нид хелп!!!
Добавлено: 17 ноя 2004, 22:07
Agronom
короче с логами разобрался.... но тут возник еще трабл..
я небогу разобрать че там происходит... верней не совсем понимаю
Nov 17 17:37:31 Proxy kernel: FORWARD INFOIN=eth0 OUT=eth1 SRC=192.168.0.199 DST=195.225.246.109 LEN=64 TOS=0x00 PREC=0x00 TTL=199 ID=5451 PROTO=TCP SPT=1506 DPT=1723 WINDOW=64324 RES=0x00 ACK PSH URGP=0 - это понятно...
Nov 17 21:05:13 Proxy kernel: FORWARD INFOIN=eth1 OUT=eth0 SRC=195.225.246.109 DST=192.168.0.197 LEN=125 TOS=0x00 PREC=0x00 TTL=127 ID=35604 PROTO=47 - а во это никак не понятно и помойму в этом и есть проблемма...
Nov 17 21:05:13 Proxy kernel: FORWARD INFOIN=eth0 OUT=eth1 SRC=192.168.0.197 DST=195.225.246.109 LEN=81 TOS=0x00 PREC=0x00 TTL=127 ID=5042 PROTO=47 это тоже несовсем, всем спасиба за помощ и понимание
Добавлено: 19 ноя 2004, 12:22
Agronom
Nov 17 21:05:13 Proxy kernel: FORWARD INFOIN=eth1 OUT=eth0 SRC=195.225.246.109 DST=192.168.0.197 LEN=125 TOS=0x00 PREC=0x00 TTL=127 ID=35604 PROTO=47
Nov 17 21:05:13 Proxy kernel: FORWARD INFOIN=eth0 OUT=eth1 SRC=192.168.0.197 DST=195.225.246.109 LEN=81 TOS=0x00 PREC=0x00 TTL=127 ID=5042 PROTO=47
как по этим 2-м записям из логов создать правило, чтобы их разрешить?? если там нет ни протокола ни порта....
Добавлено: 19 ноя 2004, 12:48
Llama
Agronom,
PROTO=47 это что по-твоему?
Добавлено: 19 ноя 2004, 12:50
Agronom
из того шо я ща вычитал это ip type 47 т.е. GRE....
а вот правило я пока создать немогу...
Добавлено: 19 ноя 2004, 12:54
Llama
Agronom, т.е.
iptables -A FORWARD -p 47 -j ACCEPT не работает?
Добавлено: 19 ноя 2004, 13:07
Agronom
не пробовал =))
честно говоря мои знания iptables очень не велики и до этого момента я просто не умел слздавать правила без явно указанных протоколов и портов....
ща попробую...