La VPN está montada sobre Windows (ISA Server) y los clientes se conectan desde una red que está configurada con iptables.
Sólo permite una conexión de un cliente, el resto las rechaza.. _____ De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] En nombre de Walter Willis Enviado el: Martes, 03 de Junio de 2008 05:14 p.m. Para: [email protected] Asunto: Re: [l-plug] Problemas VPN por loq ue he visto, me gustaria saber que tipo de vpn tienes , yo he hecho varias y la que ams da problema es al de ipsec con servidor linux y cliente wndows (openswan), si es la pptpd tienes que ahcer un cambio en el kernel por que se me conto mi amigo qeu es el que ve las partes de ruteo que algunos protocolos no los deja pasar asi nomas y tienes que cambiar o habilitar un modulo , tendria preguntarle bien por que em lo dijo en una conversacion asi nomas. El día 2 de junio de 2008 13:35, Roberto Celis <[EMAIL PROTECTED]> escribió: Hola amigos, una duda, tengo un problema tengo un LAN interna la cual sale por internet a traves de un squid y tengo algunas reglas de iptables, pero da la casualidad que 3 pc´s tienen que conectarse a una VPN externa, lo mas curioso o extraño es que una se conecta y cuando quiero conectar otra PC no me deja se queda en registrando usuario y contraseña y nunca se logra conectar. la configuración de mi Iptable es: echo "Aplicando Reglas de Firewall..." ## Limpiando Reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar ## Nota: eth0 es el interfaz conectado a la LAN y eth1 al router # Hacemos redireccion de puertos, para que el proxy sea transparente iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # APLICAMOS REDIRECCION PARA HABILITAR EL SERVIDOR WEB # QUE SE ENCUENTRA CONECTADO A LA LAN #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.2 # Si quisiera que se pueda acceder a una máquina de la LAN # desde escritorio remoto, puerto: 3389 # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.1.2:3389 # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT #Cerramos el acceso de la LAN al puerto 25 SMTP iptables -A INPUT -s 192.168.1.0/24 -i eth0 -p tcp --dport 25 -j REJECT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT ## Abrimos el acceso a puertos de servidor web y correo, ## en caso de que nuestro firewall brinde dichos servicios. # Abrimos el puerto 80 de servidor web iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT # Abrimos el puerto 25 de SMTP iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT # Abrimos el pop3 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT # Abrimos el courier imap iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT # Aceptamos conexiones por SSH iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT # Aceptamos que se vea el NTOP del exterior iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3000 -j ACCEPT # Puerto para enviar información al SIAF iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1060 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p <http://0.0.0.0/0-p> tcp --dport 20101 -j ACCEPT # CONEXION VPN iptables -A INPUT -s 201.230.227.254 -j ACCEPT ## Con las reglas FORWARD vamos a filtrar el acceso ## de la red local al exterior #CONTABILIDAD SIN INTERNET iptables -A FORWARD -s 192.168.1.78 -i eth0 -j REJECT iptables -A FORWARD -s 192.168.1.79 -i eth0 -j REJECT #Aceptamos que vayan al puerto 80 iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT #Aceptamos que vayan al puerto https iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 1723 -j ACCEPT #iptables -A FORWARD -s 192.168.1.4 -i eth0 -p tcp -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp --dport 53 -j ACCEPT # Aceptamos conexiones al SIAF iptables -A FORWARD -s 192.168.1.0/24 -i <http://192.168.1.0/24-i> eth0 -p tcp --dport 1060 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 20101 -j ACCEPT # Aceptamos conexion VPN SATCH iptables -A FORWARD -s 192.168.1.0/24 -d 201.230.227.254 -i eth0 -j ACCEPT #iptables -A FORWARD -s 201.230.227.254 -i eth1 -j ACCEPT # Direcciones con acceso al messenger live iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -s 192.168.1.4 -i eth0 -p tcp --dport 1863 -j ACCEPT # Consultas en linea a ESSALUD iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 7779 -j ACCEPT # Denegamos el acceso a las demas conexiones iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP # Ahora hacemos enmascaramiento de la red local # y activamos el BIT DE FORWARDING (imprescindible!!!!!) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE # Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras máquinas puedan salir a traves del firewall. #echo 1 > /proc/sys/net/ipv4/ip_forward #Ahora vamos a cerrar los accesos desde el exterior # Cerramos el rango de puerto bien conocido iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP echo "Las reglas se aplicaron correctamente" _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
