règlements iptables, permis L2TP / IPSEC VPN pour le pare-feu

J'ai demandé à ce sujet sur les forums Smoothwall Express, Mais pour des raisons évidentes, ne veulent pas avoir de grande aide. Après tout, ils veulent vraiment vendre une version commerciale.

J'ai besoin de fournir L2TP / IPSEC VPN Pour un soutien à distance pour un nouvel équipement que nous entrons dans un proche avenir (Sans choisir cette partie). Puisque l'utilisateur distant doit également transmettre l'authentification dans Active Directory, J'ai besoin de courir VPN Sur notre serveur Windows (2003), Et pas directement sur le pare-feu.

Dans la mesure où Smoothwall Express Ne prend pas en charge l'envoi de protocoles de l'interface de contrôle habituelle, cela doit être effectué en modifiant les paramètres. iptables dans

        rc.firewall.up

      

. C'est mon problème. je ne sais pas iptables Et je pense que même si je trouve le temps de lire à ce sujet, les risques de ce que je suis sur le fait sera important.

La section suivante existe actuellement dans

        rc.firewall.up

      

:

# IPSEC

/sbin/iptables -N secin

/sbin/iptables -A secin -i ipsec0 -j ACCEPT

/sbin/iptables -A INPUT -j secin



/sbin/iptables -N secout

/sbin/iptables -A secout -i ipsec0 -j ACCEPT

/sbin/iptables -A FORWARD -j secout

[Voici quelque chose n'est pas associé]

# IPSEC

/sbin/iptables -N ipsec

/sbin/iptables -A ipsec -p udp --destination-port 500 -j ACCEPT

/sbin/iptables -A ipsec -p udp --destination-port 4500 -j ACCEPT

/sbin/iptables -A ipsec -p 50 -j ACCEPT

/sbin/iptables -A ipsec -p 51 -j ACCEPT

/sbin/iptables -A block -i ppp0 -j ipsec

/sbin/iptables -A block -i ippp0 -j ipsec

if [ "$RED_DEV" != "" ]; then

        /sbin/iptables -A block -i $RED_DEV -j ipsec

fi

Si je ne me trompe pas, le deuxième bloc mènera au trafic que je veux rediriger sera absorbé. J'ai essayé de commenter ce deuxième bloc et ajoutez ceci, qui est adapté des rangées nécessaires à travers le passage. PPTP (Qu'est-ce qui fonctionne vraiment), Et ce que j'ai réussi à obtenir de différentes sources:

# L2TP/IPSEC

/sbin/iptables -N l2tp

/sbin/iptables -A l2tp -p udp --destination-port 500 --dst 192.169.0.7 -j ACCEPT

/sbin/iptables -A l2tp -p udp --destination-port 1701 --dst 192.169.0.7 -j ACCEPT

/sbin/iptables -A l2tp -p udp --destination-port 4500 --dst 192.169.0.7 -j ACCEPT

/sbin/iptables -A l2tp -p 50 --dst 192.169.0.7 -j ACCEPT

/sbin/iptables -A l2tp -p 51 --dst 192.169.0.7 -j ACCEPT

/sbin/iptables -I FORWARD -j l2tp

/sbin/iptables -t nat -N l2tp

/sbin/iptables -t nat -A l2tp -i $RED_DEV -p tcp --dport 500 -j DNAT --to 192.169.0.7:500

/sbin/iptables -t nat -A l2tp -i $RED_DEV -p tcp --dport 1701 -j DNAT --to 192.169.0.7:1701

/sbin/iptables -t nat -A l2tp -i $RED_DEV -p tcp --dport 4500 -j DNAT --to 192.169.0.7:4500

/sbin/iptables -t nat -A l2tp -i $RED_DEV -p 50 -j DNAT --to 192.169.0.7

/sbin/iptables -t nat -A l2tp -i $RED_DEV -p 51 -j DNAT --to 192.169.0.7

/sbin/iptables -t nat -A PREROUTING -j l2tp

.. Mais cela ne fonctionne pas. Où ai-je pris?

D'ailleurs,

        $RED_DEV

      

traduit en une interface disponible publiquement et évidemment

        192.168.0.7

      

Ceci est mon serveur VPN.

Rafraîchir:

Il s'avère que les paramètres ci-dessus fonctionnent - sorte de. Je le teste à la maison, où j'ai MacBook et plusieurs voitures avec Windows XP. Je peux parfaitement connecter avec Mac, Mais je ne peux connaître aucune des voitures Windows. Malheureusement, une entreprise de construction de machines que cette VPN Pour le support à distance, utilise uniquement Windows XP. :(