PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VPN - iptables - Firewalleinstellung



schuelsche
18.07.03, 09:53
Hallo Ihrs,

in dem Tutorial von tecchannel bzgl. der Einrichtung von FreeS/WAN und allem weiteren ist angegeben, dass man für die VPN-Verbindung das Security-Gateway dazu bewegen muss, alle entsprechenden InfoAH - und InfoESP-Pakete zu akzeptieren. Dabei steht, dass man InfoUDP-Pakete zu Port 500 sowie den IP-Protokolltyp 50 (AH) passieren lassen sollte.

Ich bin gerade dabei, mit iptables rumzuspielen und möchte eigentlich dies erst mal so einrichten, dass eine ssh-Verbindung möglich ist und eben nur diese VPN-Verbindung.

Dafür habe ich in den iptables zunächst die UDP-Pakete zu Port 500 freigeschaltet:
iptables -A INPUT -p UDP -i eth1 --dport 500 -j ACCCEPT
(eth1 ist bei mir der Zugang zum Internet).

Ich nehmen mal an, das stimmt so.
Nur, wie richtige ich jetzt diesen IP-Protokolltyp ein? Meint das Port 50 oder was ist dieser Protokolltyp? Was muss ich dazu in den iptables eingeben?

Die grundsätzliche Policy ist auf DROP gesetzt.

Hab schon gegoogelt, aber ich finde nix dazu... ausser den Hinweis auf das tecchannel-Tutorial und noch einen anderen Verweis, mit dem ich nicht wirklich was anfangen kann...
Was ist denn dies "ominöse" IP-Protokoll 50?

Grüsse
schuelsche

Coffi
18.07.03, 10:27
ich hab in meiner suche im internet zwei sachen gefunden:

# allow IPsec
iptables -A FORWARD -i ipsec+ -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o ipsec+ -j ACCEPT
# anpassen je nachdem über welche Verbindung ipsec geht
# IKE negotiations
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
# ESP encrypton and authentication
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
# AH authentication header
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT

und


FW_DEV_EXT="eth1 ipsec0"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.0.0/16"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="50 51"
FW_FORWARD="192.168.0.0/99,10.0.0.0/16,192.168.0.0/99"

Wenn du damit was anfangen kannst!