por loq ue he visto, me gustaria saber que tipo de vpn tienes , yo he hecho varias y la que ams da problema es al de ipsec con servidor linux y cliente wndows (openswan), si es la pptpd tienes que ahcer un cambio en el kernel por que se me conto mi amigo qeu es el que ve las partes de ruteo que algunos protocolos no los deja pasar asi nomas y tienes que cambiar o habilitar un modulo , tendria preguntarle bien por que em lo dijo en una conversacion asi nomas.
El día 2 de junio de 2008 13:35, Roberto Celis <[EMAIL PROTECTED]> escribió: > Hola amigos, una duda, tengo un problema tengo un LAN interna la cual > sale por internet a traves de un squid y tengo algunas reglas de iptables, > pero da la casualidad que 3 pc´s tienen que conectarse a una VPN externa, lo > mas curioso o extraño es que una se conecta y cuando quiero conectar otra PC > no me deja se queda en registrando usuario y contraseña y nunca se logra > conectar. > > la configuración de mi Iptable es: > > > > echo "Aplicando Reglas de Firewall..." > > > > ## Limpiando Reglas > > iptables -F > > iptables -X > > iptables -Z > > iptables -t nat -F > > > > ## Establecemos politica por defecto > > iptables -P INPUT ACCEPT > > iptables -P OUTPUT ACCEPT > > iptables -P FORWARD ACCEPT > > iptables -t nat -P PREROUTING ACCEPT > > iptables -t nat -P POSTROUTING ACCEPT > > > > ## Empezamos a filtrar > > ## Nota: eth0 es el interfaz conectado a la LAN y eth1 al router > > > > # Hacemos redireccion de puertos, para que el proxy sea transparente > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 3128 > > > > # APLICAMOS REDIRECCION PARA HABILITAR EL SERVIDOR WEB > > # QUE SE ENCUENTRA CONECTADO A LA LAN > > #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to > 192.168.1.2 > > > > # Si quisiera que se pueda acceder a una máquina de la LAN > > # desde escritorio remoto, puerto: 3389 > > # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to > 192.168.1.2:3389 > > > > # El localhost se deja (por ejemplo conexiones locales a mysql) > > iptables -A INPUT -i lo -j ACCEPT > > > > #Cerramos el acceso de la LAN al puerto 25 SMTP > > iptables -A INPUT -s 192.168.1.0/24 -i eth0 -p tcp --dport 25 -j REJECT > > # Al firewall tenemos acceso desde la red local > > iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT > > > > ## Abrimos el acceso a puertos de servidor web y correo, > > ## en caso de que nuestro firewall brinde dichos servicios. > > # Abrimos el puerto 80 de servidor web > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT > > # Abrimos el puerto 25 de SMTP > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT > > # Abrimos el pop3 > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT > > # Abrimos el courier imap > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT > > # Aceptamos conexiones por SSH > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT > > # Aceptamos que se vea el NTOP del exterior > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3000 -j ACCEPT > > > > # Puerto para enviar información al SIAF > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1060 -j ACCEPT > > iptables -A INPUT -s 0.0.0.0/0 -p <http://0.0.0.0/0-p> tcp --dport 20101 > -j ACCEPT > > # CONEXION VPN > > iptables -A INPUT -s 201.230.227.254 -j ACCEPT > > > > ## Con las reglas FORWARD vamos a filtrar el acceso > > ## de la red local al exterior > > > > #CONTABILIDAD SIN INTERNET > > iptables -A FORWARD -s 192.168.1.78 -i eth0 -j REJECT > > iptables -A FORWARD -s 192.168.1.79 -i eth0 -j REJECT > > > > #Aceptamos que vayan al puerto 80 > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT > > #Aceptamos que vayan al puerto https > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 1723 -j > ACCEPT > > #iptables -A FORWARD -s 192.168.1.4 -i eth0 -p tcp -j ACCEPT > > > > # Aceptamos que consulten los DNS > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp --dport 53 -j ACCEPT > > > > # Aceptamos conexiones al SIAF > > iptables -A FORWARD -s 192.168.1.0/24 -i <http://192.168.1.0/24-i> eth0 -p > tcp --dport 1060 -j ACCEPT > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 20101 -j > ACCEPT > > > > # Aceptamos conexion VPN SATCH > > iptables -A FORWARD -s 192.168.1.0/24 -d 201.230.227.254 -i eth0 -j ACCEPT > > #iptables -A FORWARD -s 201.230.227.254 -i eth1 -j ACCEPT > > > > # Direcciones con acceso al messenger live > > iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 1863 -j ACCEPT > > iptables -A FORWARD -s 192.168.1.4 -i eth0 -p tcp --dport 1863 -j ACCEPT > > > > # Consultas en linea a ESSALUD > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 7779 -j > ACCEPT > > > > # Denegamos el acceso a las demas conexiones > > iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP > > > > # Ahora hacemos enmascaramiento de la red local > > # y activamos el BIT DE FORWARDING (imprescindible!!!!!) > > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE > > > > # Con esto permitimos hacer forward de paquetes en el firewall, o sea > > # que otras máquinas puedan salir a traves del firewall. > > #echo 1 > /proc/sys/net/ipv4/ip_forward > > > > #Ahora vamos a cerrar los accesos desde el exterior > > > > # Cerramos el rango de puerto bien conocido > > iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP > > iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP > > > > echo "Las reglas se aplicaron correctamente" > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
