Iptables e OpenVPN Local [RESOLVIDO]

alfs72
(usa Ubuntu)

Enviado em 29/07/2010 - 22:12h

Olá a todos!!

Preciso utilizar uma vpn (openvpn) numa máquina onde instalei um proxy local. Existem algumas regras de iptables para evitar a navegação se o usuário tirar o proxy do navegador. Acontece que estas mesmas regras estão bloqueando a vpn, e eu não sei como posso libera-la.

A regra que bloqueia a navegação sem proxy foi passada a mim aqui mesmo no VOL, e é a seguinte:

iptables -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner proxy -j REJECT --reject-with tcp-reset

Alguém poderia me ajudar, me dizendo como eu posso fazer para que eu consiga liberar apenas a conexão OpenVPN e manter o resto dos bloqueios desta regra????

Se alguém puder me ajudar, agradeço muito!!!!!

removido
(usa Nenhuma)

Enviado em 30/07/2010 - 00:53h

Boa Noite Amigo,

Basicamente seria esta regra se realmente a regra acima estiver filtrando o acesso á VPN.
iptables -t filter -I OUTPUT -o $INT_VPN -j ACCEPT

alfs72
(usa Ubuntu)

Enviado em 30/07/2010 - 10:01h

Bom dia amigo

Vou testar essa regra... apenas uma dúvida que eu tenho.... devo colocar ANTES ou APÓS a minha regra que está bloqueando a vpn???

grato pela ajuda!

ricardoolonca
(usa Debian)

Enviado em 30/07/2010 - 10:38h

Essa regra deve vir antes.

irado
(usa XUbuntu)

Enviado em 30/07/2010 - 13:31h

certas pessoas chutam tão bem que deveriam ir pra seleção do dunga.

mano.. SE (e apenas SE) vc não alterou a OpenVPN fundamentalmente, essa regra não interfere em nada, pois trada apenas de protocolos http/https e o OpenVPN comunica-se via UDP (isto é, se vc não fez nada pra mudar isso).

ao invés de ficar correndo em círculos que nem cão atrás do rabo, sem ir pra lugar algum, analise os logs da OpenVPN, que são mencionados no seu OpenVPN.conf. Se necessário, altere a "verbose" para 9.

ricardoolonca
(usa Debian)

Enviado em 30/07/2010 - 14:03h

Bem, pelo anunciado, o alfs72 deu a entender que queria saber como liberar isso no iptables. As respostas até então não foram um chute, irado.

alfs72, como citou o irado, veja as logs da sua vpn. Faça também um tcpdump na interface no momento em que testa a conexão. Poste os resultados junto com a sua configuração do iptables. Assim poderemos ajudá-lo melhor.

removido
(usa Nenhuma)

Enviado em 30/07/2010 - 16:38h

Boa Tarde senhores,

Realmente irado esqueci o detalhe da regra que está mensionando tcp visto que o openvpn fecha o tunel via udp mais segundo os meus teste quando a conexão tem destino a sub-rede na outra ponta ela passa ser orientada por tcp após sair do tunel correto! Sendo assim como o amigo adicionou a regra sem especificar a interface então o filtro casaria para todas as interfaces e de alguma forma se ele estivesse tentando acessar um serviço de http que estivesse na outra ponta da vpn os pacotes casariam com a regra mensionada na duvida dele. Com a regra passada acima ele resolveria o problema de acesso na VPN. Me corrija se estiver errado.


Tenho um exemplo de um cenário em produção em que criei duas regras para liberação da vpn. Uma para pacotes udp e uma outra para tcp da interface tun0 que e o tunel da VPN e realizei o acesso http na outra ponta da vpn e todos os pacotes casaram somente com a regra de tcp como pode ser visto abaixo:


Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * tun0 0.0.0.0/0 0.0.0.0/0 udp
77 15764 ACCEPT tcp -- * tun0 0.0.0.0/0 0.0.0.0/0 tcp

OBS: Como mensionado pelo irado vale a pena conferir também as configurações do openvpn.conf e também os logs afim de encontrar alguma anomalia no serviço.

irado
(usa XUbuntu)

Enviado em 30/07/2010 - 16:46h

faça captura de pacotes com tcpdump, porta 500 udp APENAS, via tun0 (que é a interface). Pode restringir host.origem host.destino.

não sei pq pra vc houve captura de pacotes tcp, nunca vi conversão udp-->tcp no OpenVPN.

talvz vc tenha capturado 'ruido' na interface.. francamente, NÃO SEI. Apenas sei que o tpc vai "empacotado" dentro dos udp, devidamente criptografado.

alfs72
(usa Ubuntu)

Enviado em 30/07/2010 - 20:26h

Senhores!

usando a dica do tcpdump que vocês me passaram, acho que acabei descobrindo qual é o problema. Na verdade não seria a VPN que está sendo bloqueada, e sim o serviço de autenticação do sistema que eu estou usando via VPN, que é via http, conforme vocês podem verificar no log do tcpdump:

IP 10.8.0.10.57292 > XXX.XXX.XX.XXX.br.www: Flags [S], seq 369625983, win 5840, options [mss 1460,sackOK,TS val 66374 ecr 0,nop,wscale 6], length 0


Existe uma requisição http para autenticação do usuário no sistema. Então a regra está bloqueando esta conexão, correto?

Se sim, alguém pode me dar uma força pra poder resolver esse entrave???

Agradeço a todos pelas dicas!!!

Abraços

removido
(usa Nenhuma)

Enviado em 30/07/2010 - 20:37h

Qual e a mensagem de erro quando voce tenta abrir a pagina?

alfs72
(usa Ubuntu)

Enviado em 31/07/2010 - 09:49h

Não existe mensagem de erro, simplesmente o aplicativo trava, pois não consegue acessar a página de autenticação do sistema. Assim que eu digito o comando ¨iptables -F¨ no terminal o sistema abre normalmente.

removido
(usa Nenhuma)

Enviado em 31/07/2010 - 15:21h

Boa tarde Amigo,

Você já tentou aplicar a primeira regra que te passei para liberar isto? Tente reporte aqui na comunidade mande tambem o seu script de firewall para nos analisarmos as regras!