amigos,
agradeço a ajuda, o problema já foi solucionado. Em 10/09/07, Maxwillian Miorim<[EMAIL PROTECTED]> escreveu: > On 9/10/07, Denis <[EMAIL PROTECTED]> wrote: > > Em 01/09/07, Guilherme Rocha<[EMAIL PROTECTED]> escreveu: > > > > > > Pessoal, > > > > > > fui "convidado" a abrir umas portas num firewall pronto, rodando Debian > > > Sarge, com kernel 2.4.27... > > > > > > Minha questão é a seguinte: > > > > > > Existe um script de firewall pronto e ativo nesse Debian, até aí blza. Já > > > fiz quase tudo que foi solicitado, mas o protocolo GRE (para aquelas > > > malditas VPN PPTP do Window ;( não consigo manipular corretamente... (já > > > tive alguns avanços, mas o log do servidor windows onde tá sendo > > > fornecida a > > > VPN reclama q a conexão foi aberta, mas não existe tráfego de dados pq o > > > GRE > > > está sendo bloqueado no meio do caminho) > > > > > > Após alguns tcpdumps da vida, verifiquei que os pacotes chegam, são > > > redirecionados corretamente, voltam e são entregues, aparentemente normal. > > > Mas mesmo assim não funciona. O q me chamou a atenção é o fato de que as > > > estações de dentro da rede tb não conseguem conectar em servidores PPTP > > > externos tb... > > > > > > > > > bem, chega de choradera e vamos lá... :D > > > > > > vou colar aqui parte do script, onde estou trabalhando: se alguém puder > > > ajudar eu agradeço MUITO. > > > > > > --------------------------------------------------------------------------------------------------------------------------------------------- > > > > > > > > > # Modules > > > /sbin/modprobe iptable_nat > > > /sbin/modprobe ip_conntrack_ftp > > > /sbin/modprobe ip_nat_ftp > > > /sbin/modprobe ip_gre > > > > > > > > > # Variables > > > IPTABLES="/sbin/iptables" > > > EXT_IF="eth0" > > > #EXT_IF="ppp0" > > > INT_IF="eth1" > > > EXT_IP=`ifconfig $EXT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1` > > > INT_IP=`ifconfig $INT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1` > > > INT_NET=" 10.10.70.0/24" > > > > > > > > > > > > echo "" > > > > > > #PPTP port OK! > > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 1723 -j DNAT --to > > > 10.10.70.10 > > > $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 1723 --syn -j ACCEPT > > > > > > #GRE protocol (BUG!!!!) > > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p 47 -j DNAT --to 10.10.70.10 > > > $IPTABLES -A FORWARD -i $INT_IF -s $INT_NET -p 47 -j ACCEPT > > > > > > #MS-TS (funcionando OK) > > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 3389 -j DNAT --to > > > 10.10.70.10 > > > $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 3389 --syn -j ACCEPT > > > > > > #Remote Web-Access (funcionando OK) > > > $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 81 -j DNAT --to > > > 10.10.70.10 > > > $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 81 --syn -j ACCEPT > > > > > > #Postrouting padrão (OK!) > > > $IPTABLES -A POSTROUTING -t nat -o $EXT_IF -s $INT_NET -j SNAT --to > > > $EXT_IP > > > > > > > > > ------------------------------------------------------------------------------------------------------------------------- > > > > > > > > > > > > > > > > > > > > > Abraços, > > > > > > > > > -- > > > Guilherme Rocha > > > http://e-gui.homelinux.org > > > Mobile 55 71 92133568 > > > Keep on hackin' in the free world! > > > -- > > > "Tudo é uma questão de manter a mente quieta, a espinha ereta e o coração > > > tranquilo." > > > (Walter Franco) > > > > > > > Então gente, será que alguma boa alma te alguma sugestão?? > > > > Além do forward você tem que fazer o postrouting e liberar o input dos > > pacotes GRE também. > > > Não precisa liberar o INPUT se vai rotear o pacote, sobre o > POSTROUTING, a linha do SNAT faz isso... > > Da uma lida nesse howto para fazer funcionar: > http://www.impsec.org/linux/masquerade/VPN-howto/VPN-Masquerade.html > > -- > Max > > -- Guilherme Rocha Mobile 55 71 92133568 Keep on hackin' in the free world!