arno-iptables-firewall + pptp

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модераторы: SLEDopit, Модераторы разделов

Kradllit
Сообщения: 20
ОС: Debian, Ubuntu

arno-iptables-firewall + pptp

Сообщение Kradllit »

iptables у меня настроен с помощью этой программы для раздачи инета (через nat) в сеть. Появилась необходимость из внешнего мира подключатся во внутренню сеть через vpn. Выбрал pptp. Впн подключается (адрес сервер 192.168.0.100. клиента - 192.168.0.101), сервер пингуется и внутренний адрес 192.168.0.1 тоже пингуется, даже в инет могу ходить через этот сервер, но внутренняя сеть (192.168.0.0\24) никак не пингуется. Из сервера пингы ходят.

http://pptpclient.sourceforge.net/routing.phtml
Пытался настраивать с этой инструкции. Способ Client to LAN. Ввожу:
route add -net 192.168.0.0 netmask 255.255.255.0 dev ppp0

Но к сожелению результата нет. Подскажите, пожалуйста, в чем проблема.

Код: Выделить всё

Так настраивал arno-iptables-firewall

External network interfaces: eth0
Open external TCP-ports: 1723
Internal network interfaces: eth1
Internal subnets: 192.168.0.0/24
Internal networks with access to external networks: 192.168.0.0/24


Таблица маршрутизации до подключения vpn

Код: Выделить всё

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.252 U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         ll-559-37-demar 0.0.0.0         UG    0      0        0 eth0


Таблица маршрутизации после подключения vpn

Код: Выделить всё

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.102   *               255.255.255.255 UH    0      0        0 ppp0
localnet        *               255.255.255.252 U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         ll-559-37-demar 0.0.0.0         UG    0      0        0 eth0
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Alex2ndr
Сообщения: 443
ОС: Debian Lenny

Re: arno-iptables-firewall + pptp

Сообщение Alex2ndr »

Kradllit писал(а):
04.11.2009 05:30
iptables у меня настроен с помощью этой программы для раздачи инета (через nat) в сеть. Появилась необходимость из внешнего мира подключатся во внутренню сеть через vpn. Выбрал pptp. Впн подключается (адрес сервер 192.168.0.100. клиента - 192.168.0.101), сервер пингуется и внутренний адрес 192.168.0.1 тоже пингуется, даже в инет могу ходить через этот сервер, но внутренняя сеть (192.168.0.0\24) никак не пингуется. Из сервера пингы ходят.

192.168.0.1 пингуется с клиента?

Kradllit писал(а):
04.11.2009 05:30
http://pptpclient.sourceforge.net/routing.phtml
Пытался настраивать с этой инструкции. Способ Client to LAN. Ввожу:
route add -net 192.168.0.0 netmask 255.255.255.0 dev ppp0

Неоднозначно написано - вы вводили эту команду где? на клиенте или на сервере? Надо вводить на клиенте (а если там винда то команда будет по другому выглядеть).

Kradllit писал(а):
04.11.2009 05:30

Код: Выделить всё

Так настраивал arno-iptables-firewall

External network interfaces: eth0
Open external TCP-ports: 1723
Internal network interfaces: eth1
Internal subnets: 192.168.0.0/24
Internal networks with access to external networks: 192.168.0.0/24

Если не сложно вывод iptables-save - мне он будет понятнее - да и большинству имхо тоже.

Kradllit писал(а):
04.11.2009 05:30
Таблица маршрутизации до подключения vpn

Код: Выделить всё

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.252 U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         ll-559-37-demar 0.0.0.0         UG    0      0        0 eth0


Таблица маршрутизации после подключения vpn

Код: Выделить всё

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.102   *               255.255.255.255 UH    0      0        0 ppp0
localnet        *               255.255.255.252 U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         ll-559-37-demar 0.0.0.0         UG    0      0        0 eth0

Это на сервере? а на клиенте какая?
Спасибо сказали:
Вернуться к началу
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: arno-iptables-firewall + pptp

Сообщение sash-kan »

Kradllit
общая рекомендация: внутри туннеля лучше выдавать (и серверу и клиенту) ip-адреса, не пересекающиеся с сетями, к которым клиент имеет (или должен иметь) доступ.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Вернуться к началу
Kradllit
Сообщения: 20
ОС: Debian, Ubuntu

Re: arno-iptables-firewall + pptp

Сообщение Kradllit »

192.168.0.1 пингуется с клиента?

Угу, пингуется.

Неоднозначно написано - вы вводили эту команду где? на клиенте или на сервере? Надо вводить на клиенте (а если там винда то команда будет по другому выглядеть).

Все настройки делал только на серверной части. Клиент - Виндовс.

Если не сложно вывод iptables-save - мне он будет понятнее - да и большинству имхо тоже.


Код: Выделить всё

# Generated by iptables-save v1.4.2 on Thu Nov  5 01:38:56 2009
*nat
:PREROUTING ACCEPT [510:64576]
:POSTROUTING ACCEPT [201:12269]
:OUTPUT ACCEPT [201:12269]
-A POSTROUTING -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-
to-pmtu
-A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Nov  5 01:38:56 2009
# Generated by iptables-save v1.4.2 on Thu Nov  5 01:38:56 2009
*mangle
:PREROUTING ACCEPT [3056:273921]
:INPUT ACCEPT [2667:247452]
:FORWARD ACCEPT [88:13226]
:OUTPUT ACCEPT [2300:205170]
:POSTROUTING ACCEPT [2350:216140]
-A PREROUTING -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p udp -m udp --dport 53 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
COMMIT
# Completed on Thu Nov  5 01:38:56 2009
# Generated by iptables-save v1.4.2 on Thu Nov  5 01:38:56 2009
*filter
:INPUT DROP [2:80]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [318:27384]
:DMZ_INET_FORWARD_CHAIN - [0:0]
:DMZ_INPUT_CHAIN - [0:0]
:DMZ_LAN_FORWARD_CHAIN - [0:0]
:EXT_ICMP_FLOOD_CHAIN - [0:0]
:EXT_INPUT_CHAIN - [0:0]
:EXT_OUTPUT_CHAIN - [0:0]
:HOST_BLOCK - [0:0]
:INET_DMZ_FORWARD_CHAIN - [0:0]
:LAN_INET_FORWARD_CHAIN - [0:0]
:LAN_INPUT_CHAIN - [0:0]
:MAC_FILTER - [0:0]
:RESERVED_NET_CHK - [0:0]
:SPOOF_CHK - [0:0]
:SSH_CHK - [0:0]
:SSH_LOG_DROP - [0:0]
:UPNP_FORWARD - [0:0]
:VALID_CHK - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A INPUT -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -j HOST_BLOCK
-A INPUT -i eth1 -j MAC_FILTER
-A INPUT -j SPOOF_CHK
-A INPUT -i eth0 -j VALID_CHK
-A INPUT -i eth0 -p ! icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i eth1 -j LAN_INPUT_CHAIN
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "Dropped INPUT packet: " --log-level 6
-A INPUT -j DROP
-A FORWARD -i lo -j ACCEPT
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A FORWARD -p icmp -m state --state RELATED -j ACCEPT
-A FORWARD -j HOST_BLOCK
-A FORWARD -i eth1 -j MAC_FILTER
-A FORWARD -i eth0 -o ! eth0 -j UPNP_FORWARD
-A FORWARD -j SPOOF_CHK
-A FORWARD -i eth0 -j VALID_CHK
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j LAN_INET_FORWARD_CHAIN
-A FORWARD -m limit --limit 1/min --limit-burst 3 -j LOG --log-prefix "Dropped FORWARD packet: " --log-level 6
-A FORWARD -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -j HOST_BLOCK
-A OUTPUT -f -m limit --limit 3/min -j LOG --log-prefix "FRAGMENTED PACKET (OUT): " --log-level 6
-A OUTPUT -f -j DROP
-A OUTPUT -o eth0 -j EXT_OUTPUT_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-request(ping) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-unreachable flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -j DROP
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-source-quench flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -j DROP
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-time-exceeded flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -j DROP
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-param.-problem flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -j DROP
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP(other) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -j DROP
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 666 -m state --state NEW -j SSH_CHK
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "TCP port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "UDP port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -j DROP
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -j DROP
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "TCP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "UDP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -j DROP
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -j DROP
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 666 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 12345 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1723 -j ACCEPT
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "ICMP-request: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-unreachable: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 4 -m limit --limit 12/hour --limit-b
urst 1 -j LOG --log-prefix "ICMP-source-quench: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-time-exceeded: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP-param.-problem: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "Stealth scan (UNPRIV)?: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "Stealth scan (PRIV)?: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "Connection attempt (PRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "Connection attempt (PRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "Connection attempt (UNPRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "Connection attempt (UNPRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -j DROP
-A EXT_INPUT_CHAIN -p udp -j DROP
-A EXT_INPUT_CHAIN -p icmp -j DROP
-A EXT_INPUT_CHAIN -m limit --limit 1/min -j LOG --log-prefix "Other-IP connection attempt: " --log-level 6
-A EXT_INPUT_CHAIN -j DROP
-A EXT_OUTPUT_CHAIN -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "ICMP-request: " --log-level 6
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A LAN_INET_FORWARD_CHAIN -j ACCEPT
-A LAN_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A LAN_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "ICMP-request: " --log-level 6
-A LAN_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A LAN_INPUT_CHAIN -j ACCEPT
-A RESERVED_NET_CHK -s 10.0.0.0/8 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "Class A address: " --log-level 6
-A RESERVED_NET_CHK -s 172.16.0.0/12 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "Class B address: " --log-level 6
-A RESERVED_NET_CHK -s 192.168.0.0/16 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "Class C address: " --log-level 6
-A RESERVED_NET_CHK -s 169.254.0.0/16 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "Class M$ address: " --log-level 6
-A RESERVED_NET_CHK -s 10.0.0.0/8 -j DROP
-A RESERVED_NET_CHK -s 172.16.0.0/12 -j DROP
-A RESERVED_NET_CHK -s 192.168.0.0/16 -j DROP
-A RESERVED_NET_CHK -s 169.254.0.0/16 -j DROP
-A SPOOF_CHK -s 192.168.0.0/24 -i eth1 -j RETURN
-A SPOOF_CHK -s 192.168.0.0/24 -m limit --limit 3/min -j LOG --log-prefix "Spoofed packet: " --log-level 6
-A SPOOF_CHK -s 192.168.0.0/24 -j DROP
-A SPOOF_CHK -j RETURN
-A SSH_CHK -m recent --set --name sshchk --rsource
-A SSH_CHK -m recent --update --seconds 60 --hitcount 4 --name sshchk --rsource -j SSH_LOG_DROP
-A SSH_CHK -m recent --update --seconds 1800 --hitcount 10 --name sshchk --rsource -j SSH_LOG_DROP
-A SSH_LOG_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "SSH Brute force attack?: " --log-level 6
-A SSH_LOG_DROP -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/min -j LOG --log-prefix "Stealth XMAS scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "Stealth XMAS-PSH scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "Stealth XMAS-ALL scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/min -j LOG --log-prefix "Stealth FIN scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/min -j LOG --log-prefix "Stealth SYN/RST scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/min -j LOG --log-prefix "Stealth SYN/FIN scan(?): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/min -j LOG --log-prefix "Stealth Null scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "Bad TCP flag(64): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "Bad TCP flag(128): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -j DROP
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -j DROP
-A VALID_CHK -m state --state INVALID -j DROP
-A VALID_CHK -f -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "Fragmented packet: "
-A VALID_CHK -f -j DROP
COMMIT
# Completed on Thu Nov  5 01:38:56 2009


Код: Выделить всё

Это на сервере? а на клиенте какая?

Сервера..

Вот клиента с подключенным vpn:

Код: Выделить всё

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1   192.168.0.100       21
          0.0.0.0          0.0.0.0    192.168.0.102   192.168.0.102       1
     61.234.34.90  255.255.255.255      192.168.0.1   192.168.0.100       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.100   192.168.0.100       20
    192.168.0.100  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.102  255.255.255.255        127.0.0.1       127.0.0.1       50
    192.168.0.255  255.255.255.255    192.168.0.100   192.168.0.100       20
    192.168.0.255  255.255.255.255    192.168.0.102   192.168.0.102       50
     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1       20
     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1       20
        224.0.0.0        240.0.0.0    192.168.0.100   192.168.0.100       20
        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1       20
        224.0.0.0        240.0.0.0    192.168.0.102   192.168.0.102       1
  255.255.255.255  255.255.255.255    192.168.0.100   192.168.0.100       1
  255.255.255.255  255.255.255.255    192.168.0.102   192.168.0.102       1
  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1       1
Основной шлюз:       192.168.0.102

Постоянные маршруты:
  Отсутствует


общая рекомендация: внутри туннеля лучше выдавать (и серверу и клиенту) ip-адреса, не пересекающиеся с сетями, к которым клиент имеет (или должен иметь) доступ.

Спасибо.. просто уже пробывал все подряд.
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Alex2ndr
Сообщения: 443
ОС: Debian Lenny

Re: arno-iptables-firewall + pptp

Сообщение Alex2ndr »

Соглашусь с sash-kan (сам я об этом просто забыл :( ) - адреса подсетей с которыми контактирует клиент не должны совпадать с адресом той подсети к которой вы его хотите подключить - иначе поимеете проблемы с маршрутизацией. Например у вас внутренняя сеть 192.168.0.0/24 а у клиента она должна быть другой - например 192.168.1.0/24. Это ограничение конечно можно обойти - но напряжно - для первого опыта лучше не создавать себе таких проблем.
Kradllit писал(а):
05.11.2009 02:59
Неоднозначно написано - вы вводили эту команду где? на клиенте или на сервере? Надо вводить на клиенте (а если там винда то команда будет по другому выглядеть).

Все настройки делал только на серверной части. Клиент - Виндовс.

Повторю что это команду надо вводить на клиенте. Сервер то знает какой адрес у какой подсети - а вот клиент не знает где находится подсеть с таким адресом и ему нужно рассказать об этом. На винде эта команда выглядит что-то вроде такого

Код: Выделить всё

route ADD 192.168.0.0 MASK 255.255.255.0  192.168.0.102

где 192.168.0.102 - адрес сервера внутри VPN подсети.
Спасибо сказали:
Вернуться к началу

Вернуться в «Администрирование для начинающих»