VPN

marllon1987
(usa Ubuntu)

Enviado em 28/09/2009 - 16:26h

Boa Tarde a todos,
estou com um problema aqui na empresa...

foi solicitado a mim que achasse uma maneira dos vendedores da empresa conseguirem acessar o ERP da empresa externamente utilizando um modem 3G.

a unica solução que consegui pensar foi criar uma VPN, consegui criar (pela primeira vez) e internamente funcionou perfeitamente porém quando faço a requisição na porta 1723 externamente ele da um erro 721.

a regra que utilizei foi:
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
iptables -t nat -I PREROUTING -p udp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723

onde 192.168.0.156 seria o meu computador, onde estou fazendo os testes antes de implantar no servidor.

como estou iniciando no linux não sei se a estrutura está certa, lembrando que tentei as 2 regras separadas e juntas e não consegui fazer funcionar...

caso alguem possa me ajudar ficarei muito grato

ficarei no aguardo da resposta de algum dos usuários do VOL.

Muito Obrigado

spolti
(usa Fedora)

Enviado em 28/09/2009 - 16:44h

protocolo é tcp, não precisa da udp
certo, realmente precisa de um prerouting


não sei bem a sintaxe correta do pre e pos routing
creio que fique parecido com isso

iptables -t nat -A PREROUTING -s ip_do_vendedor (ou pode bota 0/0 pra coque rede) -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.156
e
iptables -t nat -A POSROUTING -s 192.168.0.156 -p tcp --sport 1723 -j DNAT (ou SNAT, não tenho certeza) --to-destination ip_do_vendedor


Posso ter viajado, se eu tiver errado me corrijam por favor

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 08:20h

a sua regra esta ok, esta redirecionando tudo que vier do protocolo udp e tcp de todas as interfaces para o micro com final 156, deve ter alguma regra no seu firewall vetando essa regra.

filippec, dependendo da solução de vpn implementada, utilizar o protocolo tcp causaria um delay muito grande, no caso do openvpn, o default é o protocolo udp.

Posta seu script de firewall aí, para darmos uma olhada.!

abraço..

marllon1987
(usa Ubuntu)

Enviado em 29/09/2009 - 08:30h

estou usando a VPN do windows, porém como o ip que irá acessar é dinamico eu não sei como colocar...

e a unica regra que tenho para o VPN é essa mesmo.

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 08:38h

Ta meio confuso, posta aí como esta sua estrutura de servidores..

marllon1987
(usa Ubuntu)

Enviado em 29/09/2009 - 09:49h

é o seguinte....

ainda estou fazendo testes e não implantei no servidor essa VPN...

o que eu tenho agora é o mei computador 192.168.0.156 e sei que o(s) que irá acessar será dinâmico...

internamente já está funcionando já que não passa pelo firewall...

o problema é externamente, já fiz o teste e sempre da o erro 721(que seria erro de porta), ou seja, ao meu ver a regra que coloquei no firewall está com algum erro...

não sei se esclarelceu suas duvidas mais por hora é só isso que eu tenho (nunca fiz uma VPN antes é a primeira que estou fazendo, fiz baseado em tutoriais que achei na internet).

Muito obrigado pea atenção

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 10:01h

certo, a sua regra de redirecionamento esta correta, o que pode estar aconteçendo é ter uma contra regra no firewall bloqueando essa.

Posta seu firewall aí.

marllon1987
(usa Ubuntu)

Enviado em 29/09/2009 - 10:33h

touch /var/lock/subsys/local

iptables -X
iptables -F
iptables -t nat -F

#==========================PROTECOES=============================
#Contra pactoes danificados ou suspeitos
iptables -A FORWARD -m unclean -j DROP

#Contra Ping
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

#Cotra Ping da Morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Contra ataque SMURF
iptables -A INPUT -p icmp --icmp-type 8 -j REJECT

#Contra Ataques SYN-FLOOD
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#Contra Scanners avancados (namp)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe ipt_REDIRECT


iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 5 > /proc/sys/net/ipv4/ip_forward

ifconfig eth1:1 192.168.0.100 netmask 255.255.255.0 up

#Bloqueando acessos externos ao squid
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j DROP

#Libera acesso à porta 3389 e 1234
#iptables -A INPUT -i eth0 -p tcp --dport 3389 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 1234 -j ACCEPT

#Bloqueando acessos externos ao smtp
iptables -A INPUT -i eth0 -p tcp --dport 25 -j DROP
#Libera acesso da porta VPN
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
iptables -t nat -I PREROUTING -p udp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
#iptables -t nat -I PREROUTING -p 47 --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
#iptables -t nat -I PREROUTING -p gre --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
iptables -A FORWARD -p 47 -j ACCEPT
###iptables -t nat -A PREROUTING -s eth0 -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.156
###iptables -t nat -A POSROUTING -s 192.168.0.156 -p tcp --sport 1723 -j DNAT --to-destination eth0


#Libera acesso para Web
#iptables -t nat -I POSTROUTING -p tcp --dport 80:80 -j DNAT --to-destination 192.168.0.157:80 -o eth0
#iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.157:80 -j ACCEPT
#iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 192.168.0.157 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 8088 -j DNAT --to-destination 192.168.0.157:80

# Nega acesso à porta 80
#iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j DROP

# Aceita conexões da Conectividade Social
iptables -A FORWARD -s 192.168.0.0/24 -d obsupgdp.caixa.gov.br -j ACCEPT
iptables -A FORWARD -s obsupgdp.caixa.gov.br -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d cmt.caixa.gov.br -j ACCEPT
iptables -A FORWARD -s cmt.caixa.gov.br -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.160/20 -j ACCEPT
#iptables -A FORWARD -s 200.201.174.204 -p tcp --dport 2631 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT

# Redireciona porta 80 para 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -I PREROUTING -j ACCEPT -s 192.168.0.160 -p tcp --dport 80
iptables -t nat -I PREROUTING -j ACCEPT -s 192.168.0.160 -p udp --dport 80


#Bloqueia acesso ao GTalk
iptables -A FORWARD -d chatenabled.mail.google.com -j DROP
iptables -A FORWARD -d b.mail.google.com -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 5222 -j DROP

#Bloqueia acesso ao chat do gtalk pelo gmail
iptables -A FORWARD -d chatenabled.mail.google.com -j DROP

#Bloqueia acesso ao POP e SMTP do gmail nos clientes de e-mail
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 995 -j DROP
iptables -A FORWARD -s 192.168.200.0/24 -p tcp --dport 465 -j DROP

#BLOQUEAR ACESSO AO ORKUT POR HTTPS

iptables -t filter -A INPUT -d 216.239.51.85 -p tcp --dport 443 -j DROP
iptables -t filter -A OUTPUT -d 216.239.51.85 -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -d 216.239.51.85 -p tcp --dport 443 -j DROP
iptables -t filter -A INPUT -d 216.239.37.85 -p tcp --dport 443 -j DROP
iptables -t filter -A OUTPUT -d 216.239.37.85 -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -d 216.239.37.85 -p tcp --dport 443 -j DROP
iptables -t filter -A INPUT -d images.orkut.com -p tcp --dport 443 -j DROP
iptables -t filter -A OUTPUT -d images.orkut.com -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -d images.orkut.com -p tcp --dport 443 -j DROP
iptables -t filter -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -t filter -A OUTPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -t filter -A INPUT -d orkut.com -p tcp --dport 433 -j DROP
iptables -t filter -A OUTPUT -d orkut.com -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
#BLOQUEAR MSN

# Esta regra bloqueia qualquer host da rede ao conectar no MSN:

iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 5223 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d config.messenger.msn.com -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d messenger.msn.com -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d 200.46.110.0/24 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d 64.4.13.0/24 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d messenger.msn.ca -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d c.msn.com -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d tkfiles.storage.msn.com -j REJECT

iptables -A filter -d gateway.messenger.hotmail.com -j REJECT
iptables -A filter -d gw.msnmessenger.akadns.net -j REJECT
iptables -t filter -A INPUT -d by2.omega.contacts.msn.com -p tcp --dport 443 -j DROP
iptables -t filter -A OUPUT -d by2.omega.contacts.msn.com -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -d by2.omega.contacts.msn.com -p tcp --dport 443 -j DROP
iptables -t filter -A INPUT -d urs.microsoft.com -p tcp --dport 443 -j DROP
iptables -t filter -A OUPUT -d urs.microsoft.com -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -d urs.microsoft.com -p tcp --dport 443 -j DROP

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 10:59h

marllon1987, seu script esta totalmente fora da ordem.

para despoluir um pouco seu script, faça assim bloqueie tudo por padrao e libere somente o que for de interesse da empresa, desta forma vc resolve seus problemas.

Ou entao, de uma boa revisada no seu script...

att

marllon1987
(usa Ubuntu)

Enviado em 29/09/2009 - 11:23h

o que ta ai até onde eu sei está tudo sendo utilizado o que não ta está comentado...

mais como eu não sei praticamente nada, você poderia dar uma luz de onde eu poderia começar

magnolinux
(usa Debian)

Enviado em 29/09/2009 - 11:40h

Faça um teste simples, crie um script de firewall basico onde so tem o redirecionamento da vpn. Teste este script abaixo, lembrado que é so para fazer o teste de conexão da vpn, depois é necessario dar uma boa olhada no seu firewall.

#!/bin/bash

# Modulos
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe ipt_REDIRECT

# Clear Tables
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

# Politica
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCETP

# Nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

# Regra vpn
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -j DNAT --to-destination 192.168.0.156:1723


Posta o resultado depois dos teste.

marllon1987
(usa Ubuntu)

Enviado em 29/09/2009 - 11:48h

só vou poder fazer o teste na hora do almoço...

mais assim que eu fizer posto o resultado