[PLUTO-help] firewall

Luca Stefan skydalimena a libero.it
Mar 8 Nov 2005 11:04:33 CET


Un saluto a tutti....
chiedo perdono ma oramai sono come il prezzemolo ... sono sempre in mezzo!
Ho un problema che mi trascino da diverso tempo ecco la descrizione:

1. Pc Linux Red HAT 8  che fa da server di posta e da firewall ; preferirei non postare il mio firewall ma se è necessario vedo di farlo.

2. Ho la necessità di fare un tunneling da una rete esterna (IP statico) verso un pc nella mia rete interna che ho realizzato così:

 
#!/bin/sh

#

# rel. 1.1

#

# Put in the interface names here

# 

EXTERNAL="eth2"

INTERNAL="eth0"

DMZ="eth1"

ROUTER="R.R.R.R1/s"

PROXY="X.X.X.0/24"

# Put in the IP addresses you want the sites to appear as here

#WEBSERVER_EXT_IP="81.113.51.180"

MAILSERVER_EXT_IP="R.R.R.R2"

# Put in the IP addresses the hosts use on the DMZ here

#WEBSERVER_DMZ_IP="192.9.200.67"

#MAILSERVER_DMZ_IP="192.9.200.21"

# Rete Interna

RETEINT="X.X.X.0/24"

# Broad Interno

BRETEINT="X.X.X.255/32"

# Host Public IP (su eth2)

EGO="R.R.R.R2"

# IP/rete di un utente esterno abilitato a connetterci al server VPN interno

# USER="112.56.10.32/28"

USER="Y.Y.Y.Y/z"

# IP Interno del server VPN

VPNSERVER="X.X.X.X"

##########################################################################################################################

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

# Flush all the rules out of the chains

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

# Set the default policy for the FORWARD chain to deny all

iptables -P FORWARD ACCEPT

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

# iptables -P FORWARD DROP

# VPN NATTING Esegue un DNAT di un server VPN che usa pptp (TCP porta 1723) e GRE (IP type 47) e permette l'accesso al server solo da un IP sorgente definito

iptables -A FORWARD -s $USER -p TCP --dport 1723 -j ACCEPT

# iptables -A FORWARD -p TCP --dport 1723 -j ACCEPT

iptables -t nat -A PREROUTING -d $EGO -p tcp --dport 1723 -j DNAT --to-dest $VPNSERVER:1723

iptables -t nat -A PREROUTING -d $EGO -p 47 -i eth2 -j DNAT --to-dest $VPNSERVER

# Report

iptables -L



che funziona e mi fà quanto desiderato....

il problema ora è fondere firewall ed il pezzo per il tunnelling; il firewall mi taglia qualche porta che è necessaria ma non capisco quale... ho letto tutto ciò che ho potuto ma non ne ho ricavato nulla....

Mi potete dare una mano?



Ciao Luca



More information about the pluto-help mailing list