ola Helio assim recebi um trabalho da facul para criar uma rede vpn, isso foi facil o que não esta sendo facil é liberar acessos por ela, para navegação na internet e afins
Descrição : possuo 2 redes: uma wifi (essa esta ligada apenas a um roteador wifi pela placa de rede simples do servidor sem nada nesta rede. ) ip 123.123.123.0/24 rede normal, essa rede é da faculdade possue proxy para navegar na internet impressoras e afins, ip 10.32.2.0/24 meu professor me solicitou que crie essa rede sa seguinte forma, acessar pela wifi, abrir o servidor vpn que possue 2 placas de rede uma que da na rede interna dos laboratórios e outra na wifi, ter acesso a tudo por essa rede impressora samba ssh email e mais deve poder navegar na internet mas a rede dos laboratórios possue proxy que não tem ip da rede interna é algo assim 200.200.200.200:3128 essa é a conf do servidor para ajudar a entender dev tun mode server proto udp tls-server client-to-client dh keys/dh1024.pem ca keys/ca.crt cert keys/server.crt key keys/server.key duplicate-cn server 10.0.8.0 255.255.255.0 # IP range clients #route-up "route delete -net 10.32.2.0/24" route-up "route add -net 10.32.2.0/24 tun0" push "route 10.32.2.0 255.255.255.0" # add route to protected network push "dhcp-option DNS 10.32.1.14" push "dhcp-option DHCP 10.32.1.16" push "default-gateway 10.32.2.1" port 1194 comp-lzo persist-tun persist-key verb 6 log-append /var/log/openvpn/openvpn.log status /var/log/openvpn/status.log plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth #plugin /usr/lib/openvpn/openvpn-auth-pam.so common-password client-cert-not-required username-as-common-name ########################################## e esse é o firewall que estou tentando montar #!/bin/bash iptables -F iptables -F INPUT iptables -F OUTPUT iptables -F POSTROUTING -t nat iptables -F PREROUTING -t nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -P FORWARD ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A INPUT -p tcp --dport 1194 -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -I INPUT -i tun+ -j ACCEPT iptables -I OUTPUT -o tun+ -j ACCEPT iptables -I FORWARD -i tun+ -j ACCEPT iptables -I FORWARD -o tun+ -j ACCEPT iptables -A POSTROUTING -t nat -s 10.32.2.0/24 -o eth0 -j MASQUERADE iptables -A POSTROUTING -t nat -s 123.123.123.0/24 -o tun0 -j MASQUERADE iptables -A INPUT -p icmp -j ACCEPT iptables -A FORWARD -p icmp -j ACCEPT iptables -A PREROUTING -t nat -i eth0 -s 0/0 -p tcp --dport 80 -j DNAT --to-destination 200.200.200.200:3128 iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 25 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 110 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 8080 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 3128 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 53 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 138 -j ACCEPT iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 139 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 25 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 110 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 80 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 3128 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 443 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 53 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 138 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 139 -j ACCEPT iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 8080 -j ACCEPT bom desde ja fico grato por qualquer ajuda ! Em 15 de março de 2010 21:31, Helio Loureiro <[email protected]>escreveu: > > alguem sabe como posso fazer para deixar funcionando o servidor com a > > internete e acesso a rede interna ? > > Experimente começar por uma melhor explicação da sua rede. Inclua > topologia, ranges de IPs númericos (se privados, e omitas os > públicos), e o motivo de ter uma VPN pra um Proxy. > > > -- > []´s > Helio Loureiro > http://helio.loureiro.eng.br > http://hloureiro.multiply.com > http://twitter.com/helioloureiro > -- Att Anderson Bertling
