Roteamento para VPN com iptables [RESOLVIDO]

loko2010
(usa Outra)

Enviado em 04/01/2013 - 02:09h

Ao montar uma VPN (openvpn) percebi que meu firewall estava bloqueando o roteamento entre as redes então tive que rodar esses dois comandos:

iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT

A politica padrão nos dois casos é DROP e a faixa 10.0.0.0 é da VPN.

Apesar de estar funcionando fiquei em dúvida, esta certo isso mesmo? Tenho que liberar o FORWARD mesmo?

Outra dúvida liberei apenas as seguintes portas:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i $iflocal -m multiport --dport 25,53,80,110,443,3128 -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --dport 25,53,80,110,443,3128 -j ACCEPT

iptables -A FORWARD -p udp -i $iflocal --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -i $iflocal --dport 3128 -j ACCEPT

Em momento nenhum liberei a da VPN (no caso 2222), isso quer dizer que pela VPN esta liberado todas as portas? e sem a VPN apenas essas, correto?


Valeu galera...

phrich
(usa Slackware)

Enviado em 07/01/2013 - 16:26h

Se vc não liberou a porta da VPN, ela não deveria nem se comunicar... o caso está um pouco embolado... teria como vc postar seu script de firewall?

loko2010
(usa Outra)

Enviado em 07/01/2013 - 22:05h

opa, obrigado pela resposta, segue o script firewall

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o $ifnet -j MASQUERADE
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $iplocal -i $iflocal -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -i $iflocal -m multiport --dport 25,53,80,110,443,3128 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -p udp --dport 0:30000 -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 25,53,80,110,443,3128 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -p udp -i $iflocal --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -i $iflocal --dport 3128 -j ACCEPT

phrich
(usa Slackware)

Enviado em 09/01/2013 - 16:53h

Por isso está funcionando, esta linha:

iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT

Vc liberou tudo no forward, então dependendo de onde esteja seu servidor VPN, ele consiga se comunicar...

loko2010
(usa Outra)

Enviado em 09/01/2013 - 19:47h

Então ta funcionando mas é a melhor forma de fazer ou teria outra? Valeu...

phrich
(usa Slackware)

Enviado em 16/01/2013 - 10:57h

Bom, isso é relativo, pois depende se vc usa ip fixo ou não, o que vc vai querer acessar...

vc teria que avaliar toda esta situação.

loko2010
(usa Outra)

Enviado em 17/01/2013 - 09:48h

Ok obrigado.