Redirecionando tráfego vpn para servidor interno

brunomota.silva · 11 de dezembro de 2010

Boa dia galera,

Estou montando uma rede vpn no server 2003 que fica através do linux. Segue cenário:

- Protocolo de tunelamento que será utilizado é o PPTP;

- Interface de internet do linux possui um ip fixo fornecido pela operadora. O servidor já está compartilhando a internet;

- Tabelas filter, nat e mangle estão como ACCEPT, aos poucos estou fechando algumas portas "explicitamente" pois ainda não tenho experiência suficiente para alterar todas as tabelas para DROP e liberar o necessário;

Além desse comando abaixo tenho que utilizar mais algum?

iptables -t nat -A PREROUTING -p TCP -d 20x.xxx.xxx.xxx --dport 1723 -j DNAT --to-destination 192.168.1.101:1723

A VPN também trabalha com o protocolo UDP?

Eu preciso solicitar alteração em algo no modem da operadora? Acredito que não pois todo tráfego da internet quem faz é o linux.

Abraços

Bruno Mota

Édnei Rodrigues · 15 de dezembro de 2010

Olha, sendo uma interface PPTP, tu só precisa dar um forward do IP dessa PPTP para o servidor de destino e a volta, server->pptp.

Bruno Larini · 15 de dezembro de 2010

Primeiro permita que conexões ativas retornem para a origem:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Você deve permitir que ele passe pela tabela FILTER:

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT

Opcionalmente você pode especificar a origem da conexão para aumentar a segurança (essa é uma alternativa à regra anterior):

iptables -A FORWARD -s ipdeorigem -p tcp --dport 1723 -j ACCEPT

Então você deve mascarar a interface de saída:

iptables -t nat -A POSTROUTING -o interfacedaredeinterna -j MASQUERADE

Tudo isso sem antes se esquecer de habilitar o ip forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward

brunomota.silva · 17 de dezembro de 2010

Obrigado pelas resposta.

Mais na hora de utilizar a cadeia PREROUTING..para que todo o pacote vinda da rede externa seja redirecionado para o servidor vpn (windows server 2003) tenho que utilizar no comando a interface de internet do linux ou a interface interna?

Abraços

Bruno Mota

Bruno Larini · 20 de dezembro de 2010

Você deve indicar a interface de onde provém a conexão. Se for alguém de fora, é a interface externa. Para isso utilize -i (não é obrigatório, mas fica mais restritivo), por exemplo: iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.101 .