Bienvenido(a) a Alcance Libre 31/01/2023, 04:06

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Redes y Servidores New Topic Post Reply
 Permitir acceso con iptables a VPN Externa
Tópico anterior Tópico siguiente
   
root
 05/17/09 11:25AM (Leído 15,660 veces)  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/16/09
Mensajes: 4

Buen Día estimado lector, gracias por tomarte el tiempo en leer y ayudar a aquellas personas que tienen algunos problemitas con linux.

Empezamos con la información
La Distribución ====> CentOS 5.2
Versión kernel ====> 2.6.18-92.el5
Versión iptables ====> iptables-1.3.5-4.el5
Versión squid ====> squid-2.6.STABLE6-5.el5_1.3

eth0= Red Externa ===> "192.168.1.2"
eth1= Red Local ===> "192.168.3.1"

Tengo configurado servidor proxy como las acl en su punto como quiero que este: bloqueo, acceso y deniego.

Configurando el iptable para que la red interna se conecte a un servidor vpn que se encuentra fuera de la ciudad con el ip "200.200.200.1" y la red interna de ese servidor es "192.168.2.0/24",

solo logro conectar 1 de 140 computadoras,las demas muestran comprobando usuario y contraseña, despues de un rato aparece "error 721".No logro conectar a 2 ni a 3 pc's al mismo tiempo.


Estoy configurando el servidor en linux porque actualmente trabaja en Windows 2003 con ISA SERVER.

Adjunto reglas de Firewall
==========================

#!/bin/sh
echo "Aplicando Reglas de Firewall...."
#
#
# deteniendo servicio
############################################################
echo "Deteniendo firewall, para aplicar las Nuevas Reglas..."

/sbin/service iptables stop


# Limpiar reglas
############################################################
iptables -F

iptables -t nat -F


# Politica por defecto para lo que cruza
############################################################
iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP


# Crear conexion de tarjetas y salida de LAN a internet
############################################################
echo "1" > /proc/sys/net/ipv4/ip_forward


# Permitir acceso Local, Entrada, Salida y Reenvio
############################################################
iptables -A INPUT -p ALL -i lo -j ACCEPT && echo "r1"

iptables -A INPUT -p ALL -i eth1 -j ACCEPT && echo "r2"


#Permito acceso a la ip de la vpn
#########################################
iptables -A INPUT -s 200.200.200.1 -j ACCEPT && echo "r3"
iptables -A INPUT -s 192.168.2.0 -j ACCEPT

####################
iptables -A INPUT -s 192.168.1.5 -j ACCEPT

############

iptables -A INPUT -p 47 -j ACCEPT && echo "r4"
iptables -A INPUT -p 50 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 500 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 1701 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 1723 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 4500 -j ACCEPT && echo "r4"

############

iptables -A OUTPUT -p 47 -j ACCEPT && echo "r5"
iptables -A OUTPUT -p 50 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 500 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 1701 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 1723 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 4500 -j ACCEPT && echo "r5"

##########

iptables -A OUTPUT -p ALL -j ACCEPT && echo "r6"

##########

#Reenvio red interna y externa
#########################################
iptables -A FORWARD -d 192.168.1.5 -i eth0 -j ACCEPT

iptables -A FORWARD -s 192.168.1.5 -i eth0 -j ACCEPT

iptables -A FORWARD -d 200.200.200.1 -i eth1 -j ACCEPT && echo "r7"

iptables -A FORWARD -s 200.200.200.1 -i eth0 -j ACCEPT && echo "r8"

iptables -A FORWARD -d 192.168.2.0/24 -i eth1 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -j ACCEPT

iptables -A FORWARD -p ICMP -s 192.168.3.0/24 --icmp-type 8 -j ACCEPT && echo "r9"

iptables -A FORWARD -p ICMP -s 192.168.3.0/24 --icmp-type 11 -j ACCEPT && echo "r10"


#Puertos de Salida
###################

iptables -A OUTPUT -p tcp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r11"
#udp
iptables -A OUTPUT -p udp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r11"

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r12"


#Estableciendo protocolo tcp y udp para la vpn
###############################################
iptables -A FORWARD -s 192.168.3.0/24 -d 200.200.200.1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r13"

iptables -A FORWARD -s 192.168.3.0/24 -d 200.200.200.1 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r14"



########################
iptables -A FORWARD -s 192.168.1.5 -d 192.168.1.2 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r13"

iptables -A FORWARD -s 192.168.1.5 -d 192.168.1.2 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r14"


#Habilito puertos de reenvio
#########################################
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 50 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 138 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 137 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 500 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 1701 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 4500 -j ACCEPT && echo "r15"

iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r16"

#UDP
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 21 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 50 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 138 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 137 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 500 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 1701 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 4500 -j ACCEPT && echo "r15"

iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r16"


#DNS
#########################################
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp -m udp --dport 53 -j ACCEPT && echo "r17"


# Permitir acceso al msn
############################################################
iptables -A FORWARD -p tcp -s 192.168.3.51 --dport 1863 -j REJECT && echo "r19"

iptables -A FORWARD -p tcp -s 192.168.3.0/24 --dport 1863 -j REJECT && echo "r20"


# Reglas para paquetes de internet
############################################################
iptables -A INPUT -p ALL -d 192.168.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "r21"

iptables -A INPUT -p TCP -i eth1 --dport 22 -j DROP && echo "r22"


# Redireccionando puerto
###########################################################
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 && echo "r23"

#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && echo "r24"

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.2 && echo "r25"


# Guardar Cambios
############################################################
/sbin/service iptables save

echo "Ejecutado con EXITO!!..."


Espero me den la ayuda que necesito.

GRACIAS DE ANTEMANO

 
Profile Email
 Quote
jalito27
 05/22/09 10:54AM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/22/09
Mensajes: 2
Buena gente, especialmente las damas...

Estoy realmente feliz porque en este ambito hay muchas personas que saben muchisimo mas que yo y estan dispuestas a darte una mano en cualquier momento.

Por esto es que quiero postear la solucion que me dio un gran experto en linux al respecto de este problema:

Lo que debemos hacer es editar el archivo /etc/modules y agregar dos lineas al mismo:

nf_nat_pptp

nf_conntrack_pptp

y listo, son dos helpers de pptp que solucionan el problema.

Espero que les sirva.

Un saludo

Jalito27 Big Grin
 
Profile Email
 Quote
root
 05/22/09 05:17PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/16/09
Mensajes: 4
Buen día mi estimado!! Big Grin

GRACIAS por la respuesta, voy hacer la prueba...estamos en contacto...
 
Profile Email
 Quote
root
 05/23/09 02:30PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/16/09
Mensajes: 4
Quote by: jalito27

Buena gente, especialmente las damas...
Estoy realmente feliz porque en este ambito hay muchas personas que saben muchisimo mas que yo y estan dispuestas a darte una mano en cualquier momento.
Por esto es que quiero postear la solucion que me dio un gran experto en linux al respecto de este problema:
Lo que debemos hacer es editar el archivo /etc/modules y agregar dos lineas al mismo:
nf_nat_pptp
nf_conntrack_pptp
y listo, son dos helpers de pptp que solucionan el problema.
Espero que les sirva.
Un saludo
Jalito27 Big Grin


Mi estimado JALITO27, como te habras dado cuenta estoy trabajando con la distribución CentOS5.2 ("detalles ya mencionados"Wink.
No encuentro el archivo modules, buscando por ahi... dicen en algunos foros que tendria que ingresar esos datos en modprobe.conf, pues lo hice ingrese solamente esas dos lineas y al cargar el sistema mostraba errores con dichas líneas asi que decidi buscar mas y pues agregue los siguientes parametros y pues dejo de mostrarme errores y al ejecutar el comando lsmod no aparecen esos modulos y bueno probe talvez esperando algun resultado pero nada...mmm!!
alguna otra manera para que toda mi red interna pueda conectarse a esa vpn!!
Adjunto imagen:

http://1.bp.blogspot.com/_dy8BQ9JGFCQ/ShhdrfbBrcI/AAAAAAAAAS8/bFPOoe-OrHE/s1600-h/img.JPG

GRACIAS DE ANTEMANO
 
Profile Email
 Quote
antoniofelixes
 05/25/09 08:13AM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/25/09
Mensajes: 1
Buenas,

Para poder ver si tienes o no los módulos podrías utilizar modprobe.

PHP Formatted Code
modprobe -l nf_nat_pptp
modprobe -l nf_conntrack_pptp


En caso de tener los módulos, primero prueba a cargar los módulos manualmente.

PHP Formatted Code
modprobe nf_nat_pptp
modprobe nf_conntrack_pptp


Ahora, prueba a conectar los demás ordenadores a la VPN.

En caso de que funcione, añade los módulos a algún archivo para que se cargen automáticamente al iniciar el sistema operativo.

Un saludo, Antonio Félix.
 
Profile Email
 Quote
jalito27
 05/26/09 10:24AM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/22/09
Mensajes: 2
Buenas,primero pido disculpas porque no conozco CentOS y presupuse que manejaría de igual manera los módulos que Debian (grabe error).
Igualmente por lo que veo ya te han dado la solución para saber si funciona o no el tema de los helpers, ejecutándolos primeramente y probando si funciona y luego tratar de averiguar donde agregarlos para que se ejecuten en el inicio del sistema.
Por otro lado, recuerdo que algún conocido mio utilizaba CentOS y lo que hacia era compilar el kernel para optimizar su funcionamiento para el hardware que tenia y creo que de esa manera podrías ver de levantar las opciones.
Espero te resulte y tengas suerte.
Surprised!
 
Profile Email
 Quote
root
 05/27/09 09:57PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/16/09
Mensajes: 4
Hola mi estimado!!
GRACIAS por la ayuda, aun no he visto lo mencionado, ya que por el momento me encuentro configurando el servidor proxy con ipcop me es de mucha urgencia ese servidor, recien he ingresado a trabajar y pues quiero implementar dicho firewall para mayor seguridad en mi red.
He leido que IPCOP es muy vulnerable y he logrado la conexion vpn de las maquinas, solo falta configurar dando permisos a ciertas ips...
Si algun otro tiene la solucion sobre la configuracion mencionada en la parte de arriba, ayuden para ayudar. GRACIAS!!

 
Profile Email
 Quote
elias_master7
 05/28/09 09:10AM  

Nuevo

Estado: desconectado
Forum User

Identificado: 03/13/07
Mensajes: 12
Prueba con Endian Firewall, a mi me funciona de maravillas ...

Saludos.
 
Profile Email
 Quote
jcarlosmr
 06/01/09 01:13PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 06/01/09
Mensajes: 3
Saludos, que estas usando para establecer la red VPN? según veo en tu script no estas usando openswan o nada por el estipo ya que no veo ninguna interface encriptada, en openswan suele ser tap0...tapX, una por cada tunel VPN tengas configurado
 
Profile Email
 Quote
Anónimo: : jesusb31
 09/27/10 05:00PM  
Estimado root como te fue yo tengo el mismo problema pero solo son 4 usuarios el primero y el segundo se conectan bien y hay dias en que no se conectan a la VPN, cual es la regla adecuada para que la conexion vpn sea exitosa. Cual fue la tuya bueno aqui mando la configuracion de mi iptable #!/bin/bash echo 1 >> /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -Z iptables -t nat -F #Proxy transparente #iptables -t nat -A POSTROUTING -s 172.20.10.0/24 -o eth0 -j SNAT --to 191.186.182.80 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 172.20.10.1:8080 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 #NAT hacia un IP de la LAN Interna #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 172.20.10.1:22 #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 172.20.10.4:3389 #Bloquear ping hacia el FW #iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT #iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT #iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT #iptables -A INPUT -p icmp -j DROP #Abrir puertos #navegacion iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3128 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 8080 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT #iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 1723 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 2268 -j ACCEPT #DSN resolucion iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #correos iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 587 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT #webmin iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 10000 -j ACCEPT #service ftp ssh telnet iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 23 -j ACCEPT #vpn # Aceptamos que vayan a puertos VPN PPTP iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -o eth0 -d 200.199.152.21 -p tcp --dport 1723 -j ACCEPT iptables -A FORWARD -s 200.199.152.21 -i eth0 -o eth1 -d 172.20.10.0/24 -p tcp --sport 1723 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p gre -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p gre -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p 17 -m state --state NEW,ESTABLISHED,RELATED --dport 500 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p 17 -m state --state ESTABLISHED,RELATED --sport 500 -j ACCEPT #others iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3389 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 5222 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3434 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3131 -j ACCEPT #msn iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p udp --dport 1863 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -j DROP #Reglas por defecto iptables -t nat -A POSTROUTING -s 172.20.10.0/24 -o eth0 -j MASQUERADE Espero me puedan ayudar llevo dias con esto
 
 Quote
Anónimo: : cruzjoel
 12/24/11 02:58PM  
Encontre la solucion solo para Centos 5.X y VPN PPTP:

1.- Instalar kernel-2.6.25, lo encuentras aqui:
http://sourceforge.net/projects/kernel2625el5/files/kernel/i686/

rpm -ivh kernel-2.6.25-128.1.6.el5.binp.i686.rpm
rpm -ivh kernel-devel-2.6.25-128.1.6.el5.binp.i686.rpm

2.- Reiniciar el centos con kernel 2.6.25

3.- Ejecutar modulos.

Verificar que exiten:

# modprobe -l nf_nat_pptp
# modprobe -l nf_conntrack_pptp

Aplicar modulos:

# modprobe nf_nat_pptp
# modprobe nf_conntrack_pptp

4.- Conectate con varios usuario VPN pptp a tu server remoto.

Joel.
 
 Quote
Contenido generado en: 0.30 segundos New Topic Post Reply
 Todas las horas son CST. Hora actual 04:06 AM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado