Buen Día estimado lector, gracias por tomarte el tiempo en leer y ayudar a aquellas personas que tienen algunos problemitas con linux.

Empezamos con la información
La Distribución ====> CentOS 5.2
Versión kernel ====> 2.6.18-92.el5
Versión iptables ====> iptables-1.3.5-4.el5
Versión squid ====> squid-2.6.STABLE6-5.el5_1.3

eth0= Red Externa ===> "192.168.1.2"
eth1= Red Local ===> "192.168.3.1"

Tengo configurado servidor proxy como las acl en su punto como quiero que este: bloqueo, acceso y deniego.

Configurando el iptable para que la red interna se conecte a un servidor vpn que se encuentra fuera de la ciudad con el ip "200.200.200.1" y la red interna de ese servidor es "192.168.2.0/24",

solo logro conectar 1 de 140 computadoras,las demas muestran comprobando usuario y contraseña, despues de un rato aparece "error 721".No logro conectar a 2 ni a 3 pc's al mismo tiempo.


Estoy configurando el servidor en linux porque actualmente trabaja en Windows 2003 con ISA SERVER.

Adjunto reglas de Firewall
==========================
#!/bin/sh
echo "Aplicando Reglas de Firewall...."
#
#
# deteniendo servicio
############################################################
echo "Deteniendo firewall, para aplicar las Nuevas Reglas..."

/sbin/service iptables stop


# Limpiar reglas
############################################################
iptables -F

iptables -t nat -F


# Politica por defecto para lo que cruza
############################################################
iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP


# Crear conexion de tarjetas y salida de LAN a internet
############################################################
echo "1" > /proc/sys/net/ipv4/ip_forward


# Permitir acceso Local, Entrada, Salida y Reenvio
############################################################
iptables -A INPUT -p ALL -i lo -j ACCEPT && echo "r1"

iptables -A INPUT -p ALL -i eth1 -j ACCEPT && echo "r2"


#Permito acceso a la ip de la vpn
#########################################
iptables -A INPUT -s 200.200.200.1 -j ACCEPT && echo "r3"
iptables -A INPUT -s 192.168.2.0 -j ACCEPT

####################
iptables -A INPUT -s 192.168.1.5 -j ACCEPT

############

iptables -A INPUT -p 47 -j ACCEPT && echo "r4"
iptables -A INPUT -p 50 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 500 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 1701 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 1723 -j ACCEPT && echo "r4"
#iptables -A INPUT -p 4500 -j ACCEPT && echo "r4"

############

iptables -A OUTPUT -p 47 -j ACCEPT && echo "r5"
iptables -A OUTPUT -p 50 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 500 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 1701 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 1723 -j ACCEPT && echo "r5"
#iptables -A OUTPUT -p 4500 -j ACCEPT && echo "r5"

##########

iptables -A OUTPUT -p ALL -j ACCEPT && echo "r6"

##########

#Reenvio red interna y externa
#########################################
iptables -A FORWARD -d 192.168.1.5 -i eth0 -j ACCEPT

iptables -A FORWARD -s 192.168.1.5 -i eth0 -j ACCEPT

iptables -A FORWARD -d 200.200.200.1 -i eth1 -j ACCEPT && echo "r7"

iptables -A FORWARD -s 200.200.200.1 -i eth0 -j ACCEPT && echo "r8"

iptables -A FORWARD -d 192.168.2.0/24 -i eth1 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -j ACCEPT

iptables -A FORWARD -p ICMP -s 192.168.3.0/24 --icmp-type 8 -j ACCEPT && echo "r9"

iptables -A FORWARD -p ICMP -s 192.168.3.0/24 --icmp-type 11 -j ACCEPT && echo "r10"


#Puertos de Salida
###################

iptables -A OUTPUT -p tcp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r11"
#udp
iptables -A OUTPUT -p udp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r11"

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r12"


#Estableciendo protocolo tcp y udp para la vpn
###############################################
iptables -A FORWARD -s 192.168.3.0/24 -d 200.200.200.1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r13"

iptables -A FORWARD -s 192.168.3.0/24 -d 200.200.200.1 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r14"



########################
iptables -A FORWARD -s 192.168.1.5 -d 192.168.1.2 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r13"

iptables -A FORWARD -s 192.168.1.5 -d 192.168.1.2 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "r14"


#Habilito puertos de reenvio
#########################################
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 50 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 138 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 137 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 500 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 1701 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp --dport 4500 -j ACCEPT && echo "r15"

iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p tcp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r16"

#UDP
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 21 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 50 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 138 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 137 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 500 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 1701 -j ACCEPT && echo "r15"
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp --dport 4500 -j ACCEPT && echo "r15"

iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp -m multiport --dports 0:1024,1701,1723,4500 -j ACCEPT && echo "r16"


#DNS
#########################################
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -p udp -m udp --dport 53 -j ACCEPT && echo "r17"


# Permitir acceso al msn
############################################################
iptables -A FORWARD -p tcp -s 192.168.3.51 --dport 1863 -j REJECT && echo "r19"

iptables -A FORWARD -p tcp -s 192.168.3.0/24 --dport 1863 -j REJECT && echo "r20"


# Reglas para paquetes de internet
############################################################
iptables -A INPUT -p ALL -d 192.168.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "r21"

iptables -A INPUT -p TCP -i eth1 --dport 22 -j DROP && echo "r22"


# Redireccionando puerto
###########################################################
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 && echo "r23"

#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && echo "r24"

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.2 && echo "r25"


# Guardar Cambios
############################################################
/sbin/service iptables save

echo "Ejecutado con EXITO!!..."

Espero me den la ayuda que necesito.

GRACIAS DE ANTEMANO

Buena gente, especialmente las damas...

Estoy realmente feliz porque en este ambito hay muchas personas que saben muchisimo mas que yo y estan dispuestas a darte una mano en cualquier momento.

Por esto es que quiero postear la solucion que me dio un gran experto en linux al respecto de este problema:

Lo que debemos hacer es editar el archivo /etc/modules y agregar dos lineas al mismo:

nf_nat_pptp

nf_conntrack_pptp

y listo, son dos helpers de pptp que solucionan el problema.

Espero que les sirva.

Un saludo

Jalito27

Buen día mi estimado!!

GRACIAS por la respuesta, voy hacer la prueba...estamos en contacto...

Mi estimado JALITO27, como te habras dado cuenta estoy trabajando con la distribución CentOS5.2 ("detalles ya mencionados".
No encuentro el archivo modules, buscando por ahi... dicen en algunos foros que tendria que ingresar esos datos en modprobe.conf, pues lo hice ingrese solamente esas dos lineas y al cargar el sistema mostraba errores con dichas líneas asi que decidi buscar mas y pues agregue los siguientes parametros y pues dejo de mostrarme errores y al ejecutar el comando lsmod no aparecen esos modulos y bueno probe talvez esperando algun resultado pero nada...mmm!!
alguna otra manera para que toda mi red interna pueda conectarse a esa vpn!!
Adjunto imagen:

http://1.bp.blogspot.com/_dy8BQ9JGFCQ/ShhdrfbBrcI/AAAAAAAAAS8/bFPOoe-OrHE/s1600-h/img.JPG

GRACIAS DE ANTEMANO

Buenas,

Para poder ver si tienes o no los módulos podrías utilizar modprobe.



En caso de tener los módulos, primero prueba a cargar los módulos manualmente.



Ahora, prueba a conectar los demás ordenadores a la VPN.

En caso de que funcione, añade los módulos a algún archivo para que se cargen automáticamente al iniciar el sistema operativo.

Un saludo, Antonio Félix.

Buenas,primero pido disculpas porque no conozco CentOS y presupuse que manejaría de igual manera los módulos que Debian (grabe error).
Igualmente por lo que veo ya te han dado la solución para saber si funciona o no el tema de los helpers, ejecutándolos primeramente y probando si funciona y luego tratar de averiguar donde agregarlos para que se ejecuten en el inicio del sistema.
Por otro lado, recuerdo que algún conocido mio utilizaba CentOS y lo que hacia era compilar el kernel para optimizar su funcionamiento para el hardware que tenia y creo que de esa manera podrías ver de levantar las opciones.
Espero te resulte y tengas suerte.

Hola mi estimado!!
GRACIAS por la ayuda, aun no he visto lo mencionado, ya que por el momento me encuentro configurando el servidor proxy con ipcop me es de mucha urgencia ese servidor, recien he ingresado a trabajar y pues quiero implementar dicho firewall para mayor seguridad en mi red.
He leido que IPCOP es muy vulnerable y he logrado la conexion vpn de las maquinas, solo falta configurar dando permisos a ciertas ips...
Si algun otro tiene la solucion sobre la configuracion mencionada en la parte de arriba, ayuden para ayudar. GRACIAS!!

Prueba con Endian Firewall, a mi me funciona de maravillas ...

Saludos.

Saludos, que estas usando para establecer la red VPN? según veo en tu script no estas usando openswan o nada por el estipo ya que no veo ninguna interface encriptada, en openswan suele ser tap0...tapX, una por cada tunel VPN tengas configurado

Estimado root como te fue yo tengo el mismo problema pero solo son 4 usuarios el primero y el segundo se conectan bien y hay dias en que no se conectan a la VPN, cual es la regla adecuada para que la conexion vpn sea exitosa. Cual fue la tuya bueno aqui mando la configuracion de mi iptable #!/bin/bash echo 1 >> /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -Z iptables -t nat -F #Proxy transparente #iptables -t nat -A POSTROUTING -s 172.20.10.0/24 -o eth0 -j SNAT --to 191.186.182.80 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 172.20.10.1:8080 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 #NAT hacia un IP de la LAN Interna #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 172.20.10.1:22 #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 172.20.10.4:3389 #Bloquear ping hacia el FW #iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT #iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT #iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT #iptables -A INPUT -p icmp -j DROP #Abrir puertos #navegacion iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3128 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 8080 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT #iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 1723 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 2268 -j ACCEPT #DSN resolucion iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #correos iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 587 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT #webmin iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 10000 -j ACCEPT #service ftp ssh telnet iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 23 -j ACCEPT #vpn # Aceptamos que vayan a puertos VPN PPTP iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -o eth0 -d 200.199.152.21 -p tcp --dport 1723 -j ACCEPT iptables -A FORWARD -s 200.199.152.21 -i eth0 -o eth1 -d 172.20.10.0/24 -p tcp --sport 1723 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p gre -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p gre -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p 17 -m state --state NEW,ESTABLISHED,RELATED --dport 500 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p 17 -m state --state ESTABLISHED,RELATED --sport 500 -j ACCEPT #others iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3389 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 5222 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3434 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 3131 -j ACCEPT #msn iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -p udp --dport 1863 -j ACCEPT iptables -A FORWARD -s 172.20.10.0/24 -i eth1 -j DROP #Reglas por defecto iptables -t nat -A POSTROUTING -s 172.20.10.0/24 -o eth0 -j MASQUERADE Espero me puedan ayudar llevo dias con esto

Encontre la solucion solo para Centos 5.X y VPN PPTP:

1.- Instalar kernel-2.6.25, lo encuentras aqui:
http://sourceforge.net/projects/kernel2625el5/files/kernel/i686/

rpm -ivh kernel-2.6.25-128.1.6.el5.binp.i686.rpm
rpm -ivh kernel-devel-2.6.25-128.1.6.el5.binp.i686.rpm

2.- Reiniciar el centos con kernel 2.6.25

3.- Ejecutar modulos.

Verificar que exiten:

# modprobe -l nf_nat_pptp
# modprobe -l nf_conntrack_pptp

Aplicar modulos:

# modprobe nf_nat_pptp
# modprobe nf_conntrack_pptp

4.- Conectate con varios usuario VPN pptp a tu server remoto.

Joel.