Доброго времени суток всем!
Очень нужна помощь в решении проблемы настройки pptp соединения из локалки перед которой еще и DMZ стоит.
Суть в следующем: прислали тут нам требования для организации передачи данных в налоговую:
"
Требоания к организации сети:
- из лвс пользователя дб разрешен двунаправленный доступ к ИП 213,182,169,11 пло протоколу tct на порт 1723 (это pptp - как я выяснил) и по протоколу gre (ip47) для поддержки протокола pptp-при использовании средств NAT должна быть обеспечена правильная обработка соединенй по протоколу GRE (IP47). Примеры возможных средств NAT: natd, iptables, ms isa.
"а у меня ipchains! :о(
# uname -a
Linux server3 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknownipchains
-A forward -s 192.168.3.6 -d 200.200.200.200 -p gre -j MASQ
-A forward -s 192.168.3.6 -d 200.200.200.200 1723:1723 -p tcp -j MASQ#tail -f /var/log/messages - ничего на отпинывание не показывает
На кошке Cisco pix506e открываю абсолютно все, но соединение pptp на получается. Показывает окно "проверка пользователя и пароля" и вываливает ошибку 619.
Очень нужна помощь! Помгите, плииз!
Сеть организована следующим образом: локалка (192,168,3,0) - server3 (inside 192.168.3.110 - outside 195.195.195.2) - DMZ (адреса 195.195.195.1-6) - Cisco (inside 195.195.195.1 - outside 195.195.100.1)
Понимаю, что подобные случаи рассматривались.
Поможет ли pptpproxy мне, если я его установлю на Linux? Нужно ли еще что-то ставить для этой прокси?
>Понимаю, что подобные случаи рассматривались.
>Поможет ли pptpproxy мне, если я его установлю на Linux? Нужно ли
>еще что-то ставить для этой прокси?С месяц назад сам с этой проблемой бился. :)))) Сделано было правда под FreeBSD, но принципы , я думаю, будут теми же.
Для данного типа соединений тебе потребуется еще один реальный ip. Если нет - туши свет. Если есть, то продолжаем. Устраиваешь полный натинг (ip в ip) с ip адреса локальной машины, на которой у тебя будет установлен клиент налоговой программы, на твой новый реальный ip. Делать это все естественно надо на шлюзе через который ты в и-нет выходить будешь. Нат, также приворачивается к внешнему интерфейсу. Потом как справишься с натом., прибивай на внешний интерфейс твоего шлюза второй ip адрес алиасом. Все. Далее настраивай правила на файерволе, что к тебе по второму реальному ip никто не пролез. А попутно подумай вот еще над чем. Внутри твоей локалки будет работать программа из налоговой, и исходных кодов, как тебе ясно, тебе по ней никто не даст. По умолчанию программа должна ставиться на компе Самого Главного Бухгалтера. Просто рай какой-то для финансовой разведки получается :))). У меня начальство параноики, так я в отдельную локалку вынес этот один едиственный комп. Разрешил ему выход только до налогового сервера, а все остальное закрыл аксесс-листами. Теперь если что нужно, Самый Главный Бухгалтер идет на эту машину с флешкой и отправляет или получает инфу, после чего уже ижет на свою машину. Но так сделано у нас. Как будет сделано у тебя - решать тебе и твоим боссам.
Доброго времени суток.
Я не бух. и в этом ничего не шарю.
Но вот настройки для PPTP через маршрутизатор *nix.
На машине с внешним IP, надо NAT организовать для доступа к PPTP или обратного доступа к машине по PPTP.
PPTP (TCP1723) протокол доступа (иногда нужен для VPN)
GRE (IP47) нужен для протокола PPTP
Прямой map портов через SUSE Server.#!/bin/sh
INTIF=eth0 #вобщем внешний интерфейс (ppp0)
EXTIF=eth1 #внешний внутренний интерфейс
ALTERSERVH="<IP машины к которой и с которой разрешен доступ по PPTP и GRE>"
IPTABLES=iptables
PPTPPORT=1723 #порт PPTP
GREPROT=47 #порт GRE для работы с PPTP#предварительно все может быть DROP
$IPTABLES -A INPUT -p tcp \--dport $PPTPPORT -j ACCEPT
$IPTABLES -A INPUT -p $GREPROT -j ACCEPTecho " Allow Answer to $INTIF:$PPTPPORT(PPTP)"
$IPTABLES -A FORWARD -i $INTIF -p tcp \--dport $PPTPPORT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport $PPTPPORT -o $INTIF -j ACCEPTecho " Allow Answer to protocol-$GREPROT(GRE)"
$IPTABLES -A FORWARD -i $INTIF -p $GREPROT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p $GREPROT -o $INTIF -j ACCEPT#ну и собственно NAT
echo " Enabling DNAT for PPTP from $EXTIF:$PPTPPORT to server $ALTERSERVH:$PPTPPORT"
$IPTABLES -t nat -A PREROUTING -p tcp -i $EXTIF \--dport $PPTPPORT -j DNAT --to $ALTERSERVH:$PPTPPORTecho " Enabling DNAT for GRE from $EXTIF-$GREPROT to server $ALTERSERVH-$GREPROT"
$IPTABLES -t nat -A PREROUTING -p $GREPROT -i $EXTIF -j DNAT --to $ALTERSERVHecho "1" > /proc/sys/net/ipv4/ip_forward