Pessoal, fui "convidado" a abrir umas portas num firewall pronto, rodando Debian Sarge, com kernel 2.4.27...
Minha questão é a seguinte: Existe um script de firewall pronto e ativo nesse Debian, até aí blza. Já fiz quase tudo que foi solicitado, mas o protocolo GRE (para aquelas malditas VPN PPTP do Window ;( não consigo manipular corretamente... (já tive alguns avanços, mas o log do servidor windows onde tá sendo fornecida a VPN reclama q a conexão foi aberta, mas não existe tráfego de dados pq o GRE está sendo bloqueado no meio do caminho) Após alguns tcpdumps da vida, verifiquei que os pacotes chegam, são redirecionados corretamente, voltam e são entregues, aparentemente normal. Mas mesmo assim não funciona. O q me chamou a atenção é o fato de que as estações de dentro da rede tb não conseguem conectar em servidores PPTP externos tb... bem, chega de choradera e vamos lá... :D vou colar aqui parte do script, onde estou trabalhando: se alguém puder ajudar eu agradeço MUITO. --------------------------------------------------------------------------------------------------------------------------------------------- # Modules /sbin/modprobe iptable_nat /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_gre # Variables IPTABLES="/sbin/iptables" EXT_IF="eth0" #EXT_IF="ppp0" INT_IF="eth1" EXT_IP=`ifconfig $EXT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1` INT_IP=`ifconfig $INT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1` INT_NET="10.10.70.0/24" echo "" #PPTP port OK! $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 1723 -j DNAT --to 10.10.70.10 $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 1723 --syn -j ACCEPT #GRE protocol (BUG!!!!) $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p 47 -j DNAT --to 10.10.70.10 $IPTABLES -A FORWARD -i $INT_IF -s $INT_NET -p 47 -j ACCEPT #MS-TS (funcionando OK) $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 3389 -j DNAT --to 10.10.70.10 $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 3389 --syn -j ACCEPT #Remote Web-Access (funcionando OK) $IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --dport 81 -j DNAT --to 10.10.70.10 $IPTABLES -A FORWARD -d 10.10.70.10 -p tcp --dport 81 --syn -j ACCEPT #Postrouting padrão (OK!) $IPTABLES -A POSTROUTING -t nat -o $EXT_IF -s $INT_NET -j SNAT --to $EXT_IP ------------------------------------------------------------------------------------------------------------------------- Então gente, será que alguma boa alma te alguma sugestão?? Abraços, -- Guilherme Rocha http://e-gui.homelinux.org Mobile 55 71 92133568 Keep on hackin' in the free world! -- "Tudo é uma questão de manter a mente quieta, a espinha ereta e o coração tranquilo." (Walter Franco)