[Ayuda] Re: [Ayuda]iptables y vpn

fjor en gdl.ceti.mx fjor en gdl.ceti.mx
Lun Nov 20 20:30:50 CST 2006 

Hola, Victor!

EL OpenVPN usa por default el puerto 1194/udp, por lo que
la reglas correspondientes para abrir la VPN serían:

iptables -A INPUT -d 60.124.135.10 -p tcp -m udp --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT

La primera regla permite hacer la conexion; una vez establecida, pueden
pasar cualquier protocolo tcp/udp por el tunel, que es controlado por
otras reglas; por esto es importante abrir el paso entre las interfaces
interna y de la vpn para que se comuniquen.

En este caso le puse como unica restriccion que venga de o vaya hacia
la interface tun0, pero puedes agregar mas condiciones, como solo
dejar pasar Samba (archivos compartidos tipo Windows):

iptables -A FORWARD -i tun0 -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A FORWARD -o tun0 -p tcp -m multiport --dports 139,445 -j ACCEPT

En todo caso, la decision de para donde va el trafico y cuales reglas
aplican esta dada por las reglas de ruteo (route -n), por lo que no esta
de mas que les des una revisada, tanto en el firewall como en las estaciones
remotas (en windows: route print).

Espero te sirva.
Fjor

Mensaje de referencia:
  Date: Fri, 17 Nov 2006 08:20:34 -0400
  From: "Victor Quiroz" <quiroz.victor en gmail.com>
  To: ayuda en linux.org.mx
  Subject: [Ayuda] iptables y vpn

  Hola listeros, tres oficinas amigas hemos decidido compartir alguna
  informacion y acceso a algunos recursos que tiene una de ellas, via
  internet, para lo cual decidimos establecer una VPN, de tal forma que
  en cada una de ellas se haga uso de un equipo que sirva como GW para
  su LAN correspondiente, en mi caso el equipo que actuara de GW ya
  tiene algunas otras funciones adicionales proxy
  (squid)/firewall(iptables), hasta ahora mis clientes navegan sin
  problemas y he establecido mi politica drop por defecto.
  Mi problema radica cuando establezco el tunel (openvpn), no he podido
  establecer la regla correcta para poder permitir el acceso al tunel.
  De todas formas he probado establecer el tunel sin tener activo el
  firewall y funciona correctamente lo que me indica que cuando levanto
  el firewall y el tunel el problema esta en las reglas, es por eso que
  recurro a uds para que me puedan ayudar con las reglas necesarias para
  que mi firewall permita el acceso al tunel cuando el trafico vaya a el
  y lo demas lo direccione a Internet por el proxy, se debe considerar
  que mi politica por defecto es drop.

  datos
  =====
  GW
  ip_interna: 192.168.10.1
  ip_externa: 60.124.135.10
  red interna: 192.168.10.0/24
  tun0: 10.8.0.0

  espero su ayuda, gracias
--- fin de mensaje de referencia


---------
Ing. Francisco de Jesús Orozco Ruiz
Centro de Enseñanza Técnica Industrial
Guadalajara, Jalisco, México
3641-3250 Ext 238

----------------------------------------------------------------
Servicio de Correo CETI - Plantel Colomos - http://www.ceti.mx

 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda