форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"pptp + GRE - вот такую связку хотят для работы софта"

Сообщение от ElvisPresley2 (??) on 09-Авг-07, 16:29

Доброго времени суток всем! Очень нужна помощь в решении проблемы настройки pptp соединения из локалки перед которой еще и DMZ стоит. Суть в следующем: прислали тут нам требования для организации передачи данных в налоговую: " Требоания к организации сети: - из лвс пользователя дб разрешен двунаправленный доступ к ИП 213,182,169,11 пло протоколу tct на порт 1723 (это pptp - как я выяснил) и по протоколу gre (ip47) для поддержки протокола pptp -при использовании средств NAT должна быть обеспечена правильная обработка соединенй по протоколу GRE (IP47). Примеры возможных средств NAT: natd, iptables, ms isa. " а у меня ipchains! :о( # uname -a Linux server3 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown ipchains -A forward -s 192.168.3.6 -d 200.200.200.200 -p gre -j MASQ -A forward -s 192.168.3.6 -d 200.200.200.200 1723:1723 -p tcp -j MASQ #tail -f /var/log/messages - ничего на отпинывание не показывает На кошке Cisco pix506e открываю абсолютно все, но соединение pptp на получается. Показывает окно "проверка пользователя и пароля" и вываливает ошибку 619. Очень нужна помощь! Помгите, плииз! Сеть организована следующим образом: локалка (192,168,3,0) - server3 (inside 192.168.3.110 - outside 195.195.195.2) - DMZ (адреса 195.195.195.1-6) - Cisco (inside 195.195.195.1 - outside 195.195.100.1)

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "pptp + GRE - вот такую связку хотят для работы софта"

Сообщение от ElvisPresley2 (??) on 09-Авг-07, 18:02

Понимаю, что подобные случаи рассматривались. Поможет ли pptpproxy мне, если я его установлю на Linux? Нужно ли еще что-то ставить для этой прокси?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "pptp + GRE - вот такую связку хотят для работы софта"
	Сообщение от Ivan (??) on 16-Авг-07, 17:05
	>Понимаю, что подобные случаи рассматривались. >Поможет ли pptpproxy мне, если я его установлю на Linux? Нужно ли >еще что-то ставить для этой прокси? С месяц назад сам с этой проблемой бился. :)))) Сделано было правда под FreeBSD, но принципы , я думаю, будут теми же. Для данного типа соединений тебе потребуется еще один реальный ip. Если нет - туши свет. Если есть, то продолжаем. Устраиваешь полный натинг (ip в ip) с ip адреса локальной машины, на которой у тебя будет установлен клиент налоговой программы, на твой новый реальный ip. Делать это все естественно надо на шлюзе через который ты в и-нет выходить будешь. Нат, также приворачивается к внешнему интерфейсу. Потом как справишься с натом., прибивай на внешний интерфейс твоего шлюза второй ip адрес алиасом. Все. Далее настраивай правила на файерволе, что к тебе по второму реальному ip никто не пролез. А попутно подумай вот еще над чем. Внутри твоей локалки будет работать программа из налоговой, и исходных кодов, как тебе ясно, тебе по ней никто не даст. По умолчанию программа должна ставиться на компе Самого Главного Бухгалтера. Просто рай какой-то для финансовой разведки получается :))). У меня начальство параноики, так я в отдельную локалку вынес этот один едиственный комп. Разрешил ему выход только до налогового сервера, а все остальное закрыл аксесс-листами. Теперь если что нужно, Самый Главный Бухгалтер идет на эту машину с флешкой и отправляет или получает инфу, после чего уже ижет на свою машину. Но так сделано у нас. Как будет сделано у тебя - решать тебе и твоим боссам.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "pptp + GRE - вот такую связку хотят для работы софта"

Сообщение от alatobol on 27-Ноя-07, 12:09

Доброго времени суток. Я не бух. и в этом ничего не шарю. Но вот настройки для PPTP через маршрутизатор *nix. На машине с внешним IP, надо NAT организовать для доступа к PPTP или обратного доступа к машине по PPTP. PPTP (TCP1723) протокол доступа (иногда нужен для VPN) GRE (IP47) нужен для протокола PPTP Прямой map портов через SUSE Server. #!/bin/sh INTIF=eth0 #вобщем внешний интерфейс (ppp0) EXTIF=eth1 #внешний внутренний интерфейс ALTERSERVH="<IP машины к которой и с которой разрешен доступ по PPTP и GRE>" IPTABLES=iptables PPTPPORT=1723 #порт PPTP GREPROT=47 #порт GRE для работы с PPTP #предварительно все может быть DROP $IPTABLES -A INPUT -p tcp \--dport $PPTPPORT -j ACCEPT $IPTABLES -A INPUT -p $GREPROT -j ACCEPT echo "    Allow Answer to $INTIF:$PPTPPORT(PPTP)" $IPTABLES -A FORWARD -i $INTIF -p tcp \--dport $PPTPPORT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PPTPPORT -o $INTIF -j ACCEPT echo "    Allow Answer to protocol-$GREPROT(GRE)" $IPTABLES -A FORWARD -i $INTIF -p $GREPROT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -p $GREPROT -o $INTIF -j ACCEPT #ну и собственно NAT echo "  Enabling DNAT for PPTP from $EXTIF:$PPTPPORT to server $ALTERSERVH:$PPTPPORT" $IPTABLES -t nat -A PREROUTING -p tcp -i $EXTIF \--dport $PPTPPORT -j DNAT --to $ALTERSERVH:$PPTPPORT echo "  Enabling DNAT for GRE from $EXTIF-$GREPROT to server $ALTERSERVH-$GREPROT" $IPTABLES -t nat -A PREROUTING -p $GREPROT -i $EXTIF -j DNAT --to $ALTERSERVH echo "1" > /proc/sys/net/ipv4/ip_forward

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]