Re: (linux-br)Liberar protocolo IPSEC

Fri, 19 Sep 2003 08:37:28 -0700

Ol� Gilberto,

Segundo o manual do Freeswan (RTFM), temos o seguinte exemplo para o iptables ( somente na parte de libera��o das portas - voc� precisa implementar as outras regras...)


# IKE negotiations
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT

# ESP encryption
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT

# AH authentication
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT

# Liberar para a aplica��o
iptables -A INPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT

# Comunicacao entre Matriz e Filial1

iptables -A FORWARD -s 192.168.19.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.19.0/24 -s 192.168.1.0/24 -j ACCEPT


Gilberto Nunes Ferreira wrote:
Ol� lista....

Tenho que liberar um firewall para acessar um servidor VPN.
Segundo me informaram, tenho que liberar duas coisas:

---->>>> Protocol UDP Port 500
---->>>> Protocol  IPSEC-  Port 50 & 51

O UDP tudo bem, que eu liberaria com iptables:

iptables -A INPUT -p udp -s $MYNET -d $VPN --dport 500 -j ACCEPT

Mas e o IPSEC? Tentei liberar o protocolo tcp (pois se n�o me falha a
mem�ria, ipsec � uma implementa��o ip) sob ADSL mas n�o funcionou.
Depois de liberara estas portas, teria que utilizar um cliente Windows, chamado de Conivity VPN Client, para conectar no servidor VPN.

E acho que o seu cliente � o Contivity da Nortel, certo ?

Temos estes links e sugest�es :

1- (http://www.freeswan.ca/docs/Contivity)


2 - Not with FreeS/WAN. The Nortel uses XAUTH, a draft extension to IKE, which expired and never made it to the RFC stage. No one has
implemented support for it in FreeS/WAN.


3- You have 2 options:

3.1) Get the latest version of the Nortel Client (4.15d I think) which
supports NAT Traversal over UDP, and ensure this is enabled on the Nortel
Contivity.

3.2) Connect FreeS/WAN to the Nortel Contivity, as a branch office.  See
http://www.freeswan.ca/docs/Contivity/ for details on doing this.

[]�s


S�rgio

---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a