---

Hej

Hvad skal der til for at iptables lukker vpn connections ind på et lan.
Firewallen med iptables tager i mod pptpd connections. Der er pt. åben for
tcp 1723 og gre men stadig kommer man ikke videre ind på LAN' nettet vha.
f.eks. ping.

Åbner jeg alle rules er der intet problem.

Setup:
INET -> wide open router -> eth0(10.10.10.2/32) - iptables/pptpd -
eth1(192.168.119.2/32) -> lan(192.168.119.0/24)

Mvh. Kasper

---

"Kasper" <news@baas.dk> writes:

> Hvad skal der til for at iptables lukker vpn connections ind på et lan.

Med PPTP skal der bare åbnes for 1723/tcp og 47/IP (GRE).

> Firewallen med iptables tager i mod pptpd connections. Der er pt. åben for
> tcp 1723 og gre men stadig kommer man ikke videre ind på LAN' nettet vha.
> f.eks. ping.
>
> Åbner jeg alle rules er der intet problem.

Hvilke regler bruger du pt. til at åbne for det med iptables?

Hvad fanger den i logfilen? For du har vel sat den til at logge trafik
der bliver fanget af din firewall - i hvert fald her mens du debugger,
ikke?

--
Jacob - www.bunk.cc
Too much is not enough.

---

"Kasper" <news@baas.dk> skrev i en meddelelse
news:bpbir3$2p1r$1@news.cybercity.dk...
> Hej
>
> Hvad skal der til for at iptables lukker vpn connections ind på et lan.
> Firewallen med iptables tager i mod pptpd connections. Der er pt. åben for
> tcp 1723 og gre men stadig kommer man ikke videre ind på LAN' nettet vha.
> f.eks. ping.
>
iptables -A INPUT -p 47 -d $EXTIP -j ACCEPT
iptables -A INPUT -p tcp -d $EXTIP --dport 1723 -j ACCEPT

Det er alt.. Og så har jeg også:

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i ppp0 -j ACCEPT

Men det kommer jo an på om du somstandart har din forward til DROP eller ej

--
Esben

---

jeg kører som standard drop og echo "1" > /proc/sys/net/ipv4/ip_forward

her lidt rules:
# Do some checks for obviously spoofed IP's and
iptables -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s $PPP -j ACCEPT

iptables -N allowed
iptables -A allowed -p TCP --syn -j ACCEPT
iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p TCP -j DROP
awk '{system("iptables -A tcp-packets -p TCP -s " $1 " --dport 1723 -j
allowed")}' $CLIENT_PPTP_LST

awk '{system("iptables -A gre-packets -p 47 -s " $1 " -j ACCEPT")}'
$CLIENT_PPTP_LST

iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -N gre-packets
iptables -A INPUT -p 47 -i $INET_IFACE -j gre-packets
iptables -A INPUT -p TCP -i $INET_IFACE -j tcp-packets


håber dette giver et indblik.. hvad mangler jeg.. man kan godt få en vpn
forbindelse bare ikke få fadt i clienter på LAN nettet.

Mvh. Kasper


"Esben" <hyber@hyber.dont-spam-me.dk> wrote in message
news:3fb9c67b$0$161$edfadb0f@dread11.news.tele.dk...
>
> "Kasper" <news@baas.dk> skrev i en meddelelse
> news:bpbir3$2p1r$1@news.cybercity.dk...
> > Hej
> >
> > Hvad skal der til for at iptables lukker vpn connections ind på et lan.
> > Firewallen med iptables tager i mod pptpd connections. Der er pt. åben
for
> > tcp 1723 og gre men stadig kommer man ikke videre ind på LAN' nettet
vha.
> > f.eks. ping.
> >
> iptables -A INPUT -p 47 -d $EXTIP -j ACCEPT
> iptables -A INPUT -p tcp -d $EXTIP --dport 1723 -j ACCEPT
>
> Det er alt.. Og så har jeg også:
>
> echo "1" > /proc/sys/net/ipv4/ip_forward
> iptables -A INPUT -i ppp0 -j ACCEPT
>
> Men det kommer jo an på om du somstandart har din forward til DROP eller
ej
>
> --
> Esben
>
>

---

"Kasper" <news@baas.dk> skrev i en meddelelse
news:bpfmd4$jma$1@sunsite.dk...
> jeg kører som standard drop og echo "1" > /proc/sys/net/ipv4/ip_forward
>
> her lidt rules:
> # Do some checks for obviously spoofed IP's and
> iptables -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
> iptables -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
> iptables -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP
> iptables -t nat -A PREROUTING -i $INET_IFACE -s $PPP -j ACCEPT
>
> iptables -N allowed
> iptables -A allowed -p TCP --syn -j ACCEPT
> iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A allowed -p TCP -j DROP
> awk '{system("iptables -A tcp-packets -p TCP -s " $1 " --dport 1723 -j
> allowed")}' $CLIENT_PPTP_LST
>
> awk '{system("iptables -A gre-packets -p 47 -s " $1 " -j ACCEPT")}'
> $CLIENT_PPTP_LST
>
> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
> iptables -N gre-packets
> iptables -A INPUT -p 47 -i $INET_IFACE -j gre-packets
> iptables -A INPUT -p TCP -i $INET_IFACE -j tcp-packets
>
>
> håber dette giver et indblik.. hvad mangler jeg.. man kan godt få en vpn
> forbindelse bare ikke få fadt i clienter på LAN nettet.
>
> Mvh. Kasper
>

Kan du etablere tunnelen? Eller hva? Hvor lang kommer du når du prøver at
ringe op..

--
Esben

---

jeg kommer helt i gennem.. men jeg får ikke lov at pinge lan clients eller
komunikerer med dem med andre netværks programmer. Åbner jeg alle rules er
der intet problem.

Mvh. Kasper

"Esben" <hyber@hyber.dont-spam-me.dk> wrote in message
news:3fbc6bc8$0$191$edfadb0f@dread11.news.tele.dk...
>
> "Kasper" <news@baas.dk> skrev i en meddelelse
> news:bpfmd4$jma$1@sunsite.dk...
> > jeg kører som standard drop og echo "1" > /proc/sys/net/ipv4/ip_forward
> >
> > her lidt rules:
> > # Do some checks for obviously spoofed IP's and
> > iptables -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
> > iptables -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
> > iptables -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP
> > iptables -t nat -A PREROUTING -i $INET_IFACE -s $PPP -j ACCEPT
> >
> > iptables -N allowed
> > iptables -A allowed -p TCP --syn -j ACCEPT
> > iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j
ACCEPT
> > iptables -A allowed -p TCP -j DROP
> > awk '{system("iptables -A tcp-packets -p TCP -s " $1 " --dport 1723 -j
> > allowed")}' $CLIENT_PPTP_LST
> >
> > awk '{system("iptables -A gre-packets -p 47 -s " $1 " -j ACCEPT")}'
> > $CLIENT_PPTP_LST
> >
> > iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
> > iptables -N gre-packets
> > iptables -A INPUT -p 47 -i $INET_IFACE -j gre-packets
> > iptables -A INPUT -p TCP -i $INET_IFACE -j tcp-packets
> >
> >
> > håber dette giver et indblik.. hvad mangler jeg.. man kan godt få en vpn
> > forbindelse bare ikke få fadt i clienter på LAN nettet.
> >
> > Mvh. Kasper
> >
>
> Kan du etablere tunnelen? Eller hva? Hvor lang kommer du når du prøver at
> ringe op..
>
> --
> Esben
>
>

---

her ser du forbindelsen er oppe:

ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.119.2 P-t-P:192.168.119.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:47 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7841 (7.6 Kb) TX bytes:130 (130.0 b)

# arp -i eth1
Address HWtype HWaddress Flags Mask Iface
192.168.119.101 * * MP eth1

"Kasper" <news@baas.dk> wrote in message news:bpht6b$dr2$1@sunsite.dk...
> jeg kommer helt i gennem.. men jeg får ikke lov at pinge lan clients eller
> komunikerer med dem med andre netværks programmer. Åbner jeg alle rules er
> der intet problem.
>
> Mvh. Kasper
>
> "Esben" <hyber@hyber.dont-spam-me.dk> wrote in message
> news:3fbc6bc8$0$191$edfadb0f@dread11.news.tele.dk...
> >
> > "Kasper" <news@baas.dk> skrev i en meddelelse
> > news:bpfmd4$jma$1@sunsite.dk...
> > > jeg kører som standard drop og echo "1" >
/proc/sys/net/ipv4/ip_forward
> > >
> > > her lidt rules:
> > > # Do some checks for obviously spoofed IP's and
> > > iptables -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
> > > iptables -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
> > > iptables -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP
> > > iptables -t nat -A PREROUTING -i $INET_IFACE -s $PPP -j ACCEPT
> > >
> > > iptables -N allowed
> > > iptables -A allowed -p TCP --syn -j ACCEPT
> > > iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j
> ACCEPT
> > > iptables -A allowed -p TCP -j DROP
> > > awk '{system("iptables -A tcp-packets -p TCP -s " $1 " --dport 1723 -j
> > > allowed")}' $CLIENT_PPTP_LST
> > >
> > > awk '{system("iptables -A gre-packets -p 47 -s " $1 " -j ACCEPT")}'
> > > $CLIENT_PPTP_LST
> > >
> > > iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
> > > iptables -N gre-packets
> > > iptables -A INPUT -p 47 -i $INET_IFACE -j gre-packets
> > > iptables -A INPUT -p TCP -i $INET_IFACE -j tcp-packets
> > >
> > >
> > > håber dette giver et indblik.. hvad mangler jeg.. man kan godt få en
vpn
> > > forbindelse bare ikke få fadt i clienter på LAN nettet.
> > >
> > > Mvh. Kasper
> > >
> >
> > Kan du etablere tunnelen? Eller hva? Hvor lang kommer du når du prøver
at
> > ringe op..
> >
> > --
> > Esben
> >
> >
>
>

---

"Kasper" <news@baas.dk> skrev i en meddelelse
news:bphtv8$4pk$1@sunsite.dk...
> her ser du forbindelsen er oppe:
>
> ppp0 Link encap:Point-to-Point Protocol
> inet addr:192.168.119.2 P-t-P:192.168.119.101 Mask:255.255.255.255
> UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
> RX packets:47 errors:0 dropped:0 overruns:0 frame:0
> TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:3
> RX bytes:7841 (7.6 Kb) TX bytes:130 (130.0 b)
>
> # arp -i eth1
> Address HWtype HWaddress Flags Mask Iface
> 192.168.119.101 * * MP eth1
>
> "Kasper" <news@baas.dk> wrote in message news:bpht6b$dr2$1@sunsite.dk...
> > jeg kommer helt i gennem.. men jeg får ikke lov at pinge lan clients
eller
> > komunikerer med dem med andre netværks programmer. Åbner jeg alle rules
er
> > der intet problem.
> >

Tror du ikke det er fordi du filtrere i denne rækkefølge:

iptables -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s $PPP -j ACCEPT

Her filtere du jo 192.168.0.0/16 altså også 192.168.119.2 før ud åbner op
for PPP.

Den sidste regl bliver jo aldrig brugt da regl 1 dropper alle 192.168.x.x
pakker fra.

Prøv at flytte den op så den ser sådan ud:
iptables -t nat -A PREROUTING -i $INET_IFACE -s $PPP -j ACCEPT
iptables -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP

kommer det så ikke komme til at virke??

--
Esben

---

fandt ud af det var følgende der skulle til:

iptables -A INPUT -p 47 -d $EXTIP -j ACCEPT
iptables -A INPUT -p tcp -d $EXTIP --dport 1723 -j ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A OUTPUT -o ppp0 -j ACCEPT

Mvh. Kasper

"Kasper" <news@baas.dk> wrote in message
news:bpbir3$2p1r$1@news.cybercity.dk...
> Hej
>
> Hvad skal der til for at iptables lukker vpn connections ind på et lan.
> Firewallen med iptables tager i mod pptpd connections. Der er pt. åben for
> tcp 1723 og gre men stadig kommer man ikke videre ind på LAN' nettet vha.
> f.eks. ping.
>
> Åbner jeg alle rules er der intet problem.
>
> Setup:
> INET -> wide open router -> eth0(10.10.10.2/32) - iptables/pptpd -
> eth1(192.168.119.2/32) -> lan(192.168.119.0/24)
>
> Mvh. Kasper
>
>
>
>