iptables настройка (Доступ к VPN серверу из сети за фаерволом (iptables))

[OlegK]

Есть проблема, прошу совета: Не могу подключиться к VPN серверу в инете с компа. который находится в моей локальной сети за фаерволом (iptables).
Открываю доступ: /sbin/iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT /sbin/iptables -A FORWARD -p 47 -j ACCEPT

но выдает ошибку "Disconnected" Error 619.

Подскажите что открывать надо еще.

Федора 2 - 2.6.10-1.771_FC2

[OlegK]

iptables -A FORWARD -j LOG
еще логирование включил, вижу, что с адреса локальной машины идут пакеты на тот ВПН сервер по протоколу 47. Что интересно один раз выскочила другая ошибка 806, говорящая, что соединение было установлено, но ГРЕ (47) протокол где-то не пропускается ...

Но я еще разрешил ГРЕ (47) протокол в INPUT и OUTPUT. не знаю, надо ли ...

[unix_man]

У тебя linux машина является шлюзом ?

[OlegK]

да, это шлюз. вот через него и пытаюсь пробиться ...
включен маскарадинт

[unix_man]

А с самого шлюза соединение устанавливается ?
UDP ?
Попытки провести vpn тоннель через систему с NAT, скорее всего завершатся фатально. Проблема в том, что NAT изменяет содержимое проходящих пакетов. Поэтому ни один пакет не пройдет проверку контрольной суммы.

[OlegK]

с Линукса я не знаю как подконнектиться ...

Виндовозник я :-)

А что UDP ? не понял

так получается нет вариантов ?

[unix_man]

99,9% Нет

Могу предожить:
настроить VPN соединение на шлюзе и раздать его через NAT.

[Shura]

можно настроить. Только надо делать проброс портов извне на машину, поднимающую VPN. А вот какие порты не скажу - надо смотреть документацию.

[OlegK]

это мой конфиг, может что кому подскажет ... Провайдер ГРЕ протокол не закрывает, так сказали.:

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

# setup masquerade
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# firewall

EXT_IP=213.167.xxx.x
LOCALNET_IP=192.168.1.0/24

/sbin/iptables -F INPUT
/sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port netbios-ns:netbios-ssn -j REJECT
/sbin/iptables -A INPUT --in-interface eth0 -p udp --destination-port netbios-ns:netbios-ssn -j REJECT
/sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port 6000:6009 -j REJECT
/sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port cvspserver -j REJECT
/sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port squid -j REJECT
/sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port svn -j REJECT
/sbin/iptables -A INPUT --in-interface eth0 -p tcp --destination-port www -j REJECT
/sbin/iptables -A INPUT -p icmp --in-interface eth0 --icmp-type timestamp-request -j REJECT
/sbin/iptables -A INPUT --in-interface eth0 -d ! $EXT_IP -j DROP

# /sbin/iptables -A INPUT -p 47 -j ACCEPT

/sbin/iptables -F FORWARD
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# /sbin/iptables -A FORWARD -j LOG

# POP3
/sbin/iptables -A FORWARD -s note -p tcp -d mail.gala.net --destination-port pop3 -j ACCEPT

# IMAP
/sbin/iptables -A FORWARD -s sert -p tcp -d ua.fm --destination-port imap -j ACCEPT

/sbin/iptables -A FORWARD -s $LOCALNET_IP -p tcp --destination-port 5222:5223 -j ACCEPT
/sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port ssh -j ACCEPT
/sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port cvspserver -j ACCEPT
/sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port squid -j ACCEPT


# SMTP
/sbin/iptables -A FORWARD -s dc12 -p tcp --destination-port smtp -j ACCEPT
/sbin/iptables -A FORWARD -s notebook -p tcp --destination-port smtp -j ACCEPT

# ICQ
/sbin/iptables -A FORWARD -s note1 -p tcp --destination-port 5190 -j REJECT

/sbin/iptables -A FORWARD -s $LOCALNET_IP -p tcp --destination-port 5190 -j ACCEPT

# FTP
/sbin/modprobe ip_nat_ftp
/sbin/iptables -A FORWARD -s dc12 -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT
/sbin/iptables -A FORWARD -s dc12 -d powermagic.com.ua -p tcp --destination-port ftp -j ACCEPT
/sbin/iptables -A FORWARD -s user1 -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT
/sbin/iptables -A FORWARD -s 102t -d ftp.alfacenter.com -p tcp --destination-port ftp -j ACCEPT

# RDP
/sbin/iptables -A FORWARD -s 212.90.165.146 -d dc12 -p tcp --destination-port 54239 -j ACCEPT
/sbin/iptables -A FORWARD -s 198.47.181.223 -d dc12 -p tcp --destination-port 54239 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 54237 -j DNAT --to 192.168.1.202:54239

# VPN access

/sbin/iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
# /sbin/iptables -A FORWARD -p tcp --sport 1723 -j ACCEPT
/sbin/iptables -A FORWARD -p 47 -j ACCEPT

/sbin/iptables -F OUTPUT
/sbin/iptables -A OUTPUT -p icmp --out-interface eth0 --icmp-type timestamp-reply -j REJECT
/sbin/iptables -A OUTPUT -d 224.0.0.0/8 -j DROP
/sbin/iptables -A OUTPUT -p tcp --destination-port 28902 -j REJECT
/sbin/iptables -A OUTPUT -p udp --destination-port 28902 -j REJECT
/sbin/iptables -A OUTPUT -o eth0 -p icmp --icmp-type ! 8 -j DROP

# /sbin/iptables -A OUTPUT -p 47 -j ACCEPT