URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 76584
[ Назад ]

Исходное сообщение
"IPTABLES модули для VPN на протоколе ESP"
Отправлено HappyS , 03-Окт-07 17:07

Помогите пожалуйста, подскажите!
Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на ESP протоколе. У меня фаэрволом является IPTABLES с модулями
ip_conntrack_netbios_ns
ip_nat_ftp
ip_conntrack_ftp
ip_gre
И подскажите правильный порядок действи я при инсталляции модуля? Рисковано ли это - менять ядро в линуксе? Где почитать про описание модулей к IPTABLES?

Содержание

IPTABLES модули для VPN на протоколе ESP,Serge, 14:38 , 04-Окт-07
- IPTABLES модули для VPN на протоколе ESP,HappyS, 10:05 , 05-Окт-07
  - IPTABLES модули для VPN на протоколе ESP,Serge, 11:24 , 05-Окт-07
    - IPTABLES модули для VPN на протоколе ESP,HappyS, 10:30 , 08-Окт-07
      - IPTABLES модули для VPN на протоколе ESP,HappyS, 15:54 , 17-Окт-07

Сообщения в этом обсуждении

"IPTABLES модули для VPN на протоколе ESP"
Отправлено Serge , 04-Окт-07 14:38

Эх.... какой вопрос пропадает. Песня просто
>Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на
>ESP протоколе.
"-p esp" что-то говорит?

"IPTABLES модули для VPN на протоколе ESP"
Отправлено HappyS , 05-Окт-07 10:05

>Эх.... какой вопрос пропадает. Песня просто
>
>>Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на
>>ESP протоколе.
>
>"-p esp" что-то говорит?
понял, что было - разобрался - у меня в конфигурации стояли строчки в таблице FILTER
:INPUT ACCEPT [6119:344155]
:FORWARD ACCEPT [1685:1247089]
:OUTPUT ACCEPT [13109:4296753]
а все онулил!!!
Скажите, так бюезопасно оставлять? Как вы используете эти цифры и что они значат? Да и модуль на ESP все-таки хорошо бы знать по имени.
-p esp -? Можно полную формулировку? Это iptables должен говорить?
PS .. а что вопрос хороший?

"IPTABLES модули для VPN на протоколе ESP"
Отправлено Serge , 05-Окт-07 11:24

>:INPUT ACCEPT [6119:344155]
>:FORWARD ACCEPT [1685:1247089]
>:OUTPUT ACCEPT [13109:4296753]
>Скажите, так бюезопасно оставлять?
Все разрешено - это не очень безопасно. Зато очень удобно
>-p esp -?  Можно полную формулировку? Это iptables должен говорить?
Например так:
iptables -A INPUT -p esp -j ACCEPT
>PS .. а что вопрос хороший?
Вопрос безграмотный до дальше некуда.
Ладно, попробую дать правильный ответ на неправильный вопрос.
Итак VPN у вас ipsec. Для разрешения в пакетном фильтре нужно сделать _примерно_ следующее:
iptables -A INPUT -p esp -j ACCEPT   <- это разрешение непосредственно esp
iptables -A INPUT -p ah  -j ACCEPT   <- это разрешение ah
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT <- это разрешение IKE
iptables -A INPUT -p udp --dport 4500 -j ACCEPT  <- это разрешение NATT
Все это довольно прилично описано в LARTC

"IPTABLES модули для VPN на протоколе ESP"
Отправлено HappyS , 08-Окт-07 10:30

>[оверквотинг удален]
>iptables -A INPUT -p esp -j ACCEPT   <- это разрешение
>непосредственно esp
>iptables -A INPUT -p ah  -j ACCEPT   <- это
>разрешение ah
>iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT <-
>это разрешение IKE
>iptables -A INPUT -p udp --dport 4500 -j ACCEPT  <- это
>разрешение NATT
>
>Все это довольно прилично описано в LARTC
Т.е. можно обойтись без дополнительно установленных модулей, чтобы пропускать VPN всех форматов? Интересно, а на OUTPUT не надо эти же правила прописывать, еслипакеты входят и выходят через мой шлюз?
Что такое LARTC?

"IPTABLES модули для VPN на протоколе ESP"
Отправлено HappyS , 17-Окт-07 15:54

Скажите только, что это за ошибка при выполнении процедуры аутентификации двух удаленных узлов по VPN (tcpdump выдал)
ip1.tcpmux > ip2.tsakmp: phase2/others ? inf[E]
ip2 > icmp.host ip1 inreachable - admin prohibited filter