jr.jorro
(usa Debian)
Enviado em 20/05/2010 - 08:44h
Pessoal, estou querendo acessar a vpn de um cliente e tou tentando liberar a porta 1723 e protocolo 47 (gre)...
mas as regras aparecem no chain INPUT mas eu não consigo listar as portas com o netstat -a -n e nem a vpn conecta. Alguém pode me ajudar? ja busquei as soluções aqui, mas não funcionaram.
segue meu firewall pra alguém achar um vacilo:
# FIREWALL PARA FUNCIONAMENTO DE PROXY
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# ==========================================================
# DEFINIÇÃO DE REDES
# ==========================================================
EXTERNAL_INT="eth0" # Interface Externa
INTERNAL_INT="eth1" # Interface Interna Desktops
INTERNAL_INT_SERVERS="eth2" # Interface Interna Servidores
LAN_ADDRESS="192.168.2.0/24" # Rede Interna Desktops
LAN_ADDRESS_SERVERS="192.168.1.0/24" # Rede Interna Servers
INTERNAL_IP="192.168.2.1" # IP Interno rede Desktops
INTERNAL_IP_SERVERS="192.168.1.1" # IP Interno rede Servidores
EXTERNAL_IP="189.55.55.4" # IP Externo
DNS_EXTERNO="200.55.55.4" # DNS Externo do ISP
DNS_EXTERNO2="200.55.55.20" # DNS Externo secundario ISP
WEB_SERVER_IP="192.168.1.2" # IP do webserver
SFTP_IP="192.168.2.2" # IP do SFTP
# ROUTING PARA PROXY
# Tudo desde a Rede Interna, fazer NAT (incluindo o web server)
iptables -t nat -A POSTROUTING -s $LAN_ADDRESS -o $EXTERNAL_INT -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN_ADDRESS_SERVERS -o $EXTERNAL_INT -j MASQUERADE
# Tudo o que chegar ao porto 80 desde a rede interna e tiver como destino outra rede,
# redirigir ao porto 3128 (Proxy Transparente)
iptables -t nat -A PREROUTING -s $LAN_ADDRESS -d ! $LAN_ADDRESS -p tcp --dport 80 -j REDIRECT --to-port 3128
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 80 -j DNAT --to 192.168.1.2:80
# Todo lo que venga por el exterior y vaya al puerto 443 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 443 -j DNAT --to 192.168.1.2:443
# Todo lo que venga por el exterior y vaya al puerto 22 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 22 -j DNAT --to 192.168.1.2:22
# Todo lo que venga por el exterior y vaya al puerto 21 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 3306 -j DNAT --to 192.168.1.2:3306
# Faltam regras para impedir serviços desde fora da LAN
# Todo lo que venga por el exterior y vaya al puerto 22 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 2222 -j DNAT --to $SFTP_IP:2222
# INPUT
# Permitimos tudo o que chegar no Firewall e tem como destino final o Firewall
# desde a rede interna
#/sbin/iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $LAN_ADDRESS -i $INTERNAL_INT -j ACCEPT
# FORWARD
# Forward do trafego para web server (HTTP)
iptables -A FORWARD -p tcp -i $INTERNAL_INT_SERVERS -d 192.168.1.2 --dport 80 -j ACCEPT
# Forward do trafego para web server (HTTPS)
iptables -A FORWARD -p tcp -i $INTERNAL_INT_SERVERS -d 192.168.1.2 --dport 443 -j ACCEPT
--state ESTABLISHED,RELATED -j ACCEPT
#POP 110 e SMTP 25
iptables -A FORWARD -p UDP -s 192.168.2.0/24 -d 200.55.55.4 --dport 53 -j ACCEEPT
iptables -A FORWARD -p UDP -s 200.55.55.4 --sport 53 -d 192.168.2.0/24 -j ACCeEPT
iptables -A FORWARD -p TCP -s 192.168.2.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.2.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP --sport 110 -j ACCEPT
iptables -A FORWARD -p TCP --sport 25 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
# Regras de Forward para os que trabalham nos Desktops
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 993 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 110 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 465 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 23 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p udp --dport 23 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 1863 -j REJECT
# Todo lo que venga por el exterior y vaya al puerto 21 lo redirigimos al Web Server
#iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 21 -j DNAT --to 192.168.1.2:21
#iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 20 -j DNAT --to 192.168.1.2:20
#iptables -t nat -A POSTROUTING -p tcp --dport 20 -j DNAT --to 192.168.1.1:20
#HABILITAR VPN
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT
iptables -A INPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT
iptables -I INPUT -s $LAN_ADDRESS -d 200.55.55.12 -j ACCEPT
iptables -I INPUT -i eth1 -p 47 -j ACCEPT
iptables -I INPUT -i eth1 --dport 1723 -j ACCEPT
iptables -I FORWARD -i eth1 -p 47 -j ACCEPT
iptables -I FORWARD -i eth1 -p tcp --dport 1723 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p 47 -j DNAT --to 200.55.55.12
iptables -t nat -A PREROUTING -i eth1 --dport 1723 -j DNAT --to 200.55.55.12
#Enrotamento
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -L -n