2009/4/15 Cleyton Santana de Sousa <csantan...@gmail.com>: > Pessoal, > > ola, > > preciso liberar o acesso para a vpn de um cliente nosso. rede loca --> > internet --> vpn do cliente. A conexao chega a ser estabelecida, mas não > passa da opcao de usuario e senha. > > pesquisei sobre o assunto e li que eh necessario liberar o trafego de saida > para as porta 1723 e 47 e fazer um forward de pacotes. > rodei o nmap e as portas 47 4 1723 continum bloqueadas. alguem pode ajudar a > resolver esta questao? > > abaixo, segue arquivo de firewall. teste os comando manualmente e na linha : > proxy:/# iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 1723 -j > MARK --set-mark 2 > Bad argument `tcp' > Try `iptables -h' or 'iptables --help' for more information. > > > > ifconfig eth3 down > ifconfig eth0:1 192.168.10.254 netmask 255.255.255.0 > ifconfig eth1:1 10.1.1.254 netmask 255.255.255.0 > ifconfig eth2:1 [IP EXTERNO] netmask [MASK EXTERNA] > > route add default gw 10.1.1.1 > > echo 1 > /proc/sys/net/ipv4/ip_forward > echo nameserver 127.0.0.1 > /etc/resolv.conf > > /sbin/iptables -t nat -I PREROUTING -p tcp -m multiport --dport 80 -j > REDIRECT --to-ports 3128 > /usr/bin/tail -f /var/log/squid/access.log & > > # Rotas > IF_LAN="eth0" > IF_LINK1="eth1" > IF_LINK2="eth2" > GW_LINK1="10.1.1.1" > GW_LINK2="IP EXTERNO" > > iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE > iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE > > iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK > --set-mark 2 > iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK > --set-mark 2 > iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK > --set-mark 2 > iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 1723 -j MARK > --set-mark 2 > iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 47 -j MARK > --set-mark 2 > > > > iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2 > iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 2 > iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 2 > iptables -t mangle -A OUTPUT -p tcp --dport 1723 -j MARK --set-mark 2 > iptables -t mangle -A OUTPUT -p tcp --dport 47 -j MARK --set-mark 2 > > > ip rule add fwmark 1 table 21 prio 20 > ip rule add fwmark 2 table 22 prio 20 > ip route add default via $GW_LINK1 dev $IF_LINK1 table 21 > ip route add default via $GW_LINK2 dev $IF_LINK2 table 22 > ip route flush cache > > > > > Cleyton Santana de Sousa > > COBIT Certified > ITIL Foundation Certified > Microsoft Certified Professional > http://csantanaes.blogspot.com > Gestão de TI e Gerenciamento de Projetos > > "A mente que se abre a uma nova idéia jamais voltará ao seu tamanho > original" > (Albert Einstein) >
Cleiton, atente para uma coisa (muito importante): não é porta 1723 e 47. Na verdade é porta 1723 e **protocolo 47** (que é justamente o protocolo GRE). Então ao invés de fazer iptables bla-bla-bla -p tcp --dport 47 faça iptables bla-bla-bla -p 47 Esse é um erro bem comum. Abraços, Fabiano. -- Fabiano Pires LPIC-2 http://pragasdigitais.blogspot.com/ Livrando você da escória da Internet! -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org