Anzeige:
Ergebnis 1 bis 2 von 2

Thema: VPN - iptables - Firewalleinstellung

  1. #1
    Registrierter Benutzer
    Registriert seit
    Feb 2003
    Ort
    Ulm
    Beiträge
    699

    VPN - iptables - Firewalleinstellung

    Hallo Ihrs,

    in dem Tutorial von tecchannel bzgl. der Einrichtung von FreeS/WAN und allem weiteren ist angegeben, dass man für die VPN-Verbindung das Security-Gateway dazu bewegen muss, alle entsprechenden InfoAH - und InfoESP-Pakete zu akzeptieren. Dabei steht, dass man InfoUDP-Pakete zu Port 500 sowie den IP-Protokolltyp 50 (AH) passieren lassen sollte.

    Ich bin gerade dabei, mit iptables rumzuspielen und möchte eigentlich dies erst mal so einrichten, dass eine ssh-Verbindung möglich ist und eben nur diese VPN-Verbindung.

    Dafür habe ich in den iptables zunächst die UDP-Pakete zu Port 500 freigeschaltet:
    iptables -A INPUT -p UDP -i eth1 --dport 500 -j ACCCEPT
    (eth1 ist bei mir der Zugang zum Internet).

    Ich nehmen mal an, das stimmt so.
    Nur, wie richtige ich jetzt diesen IP-Protokolltyp ein? Meint das Port 50 oder was ist dieser Protokolltyp? Was muss ich dazu in den iptables eingeben?

    Die grundsätzliche Policy ist auf DROP gesetzt.

    Hab schon gegoogelt, aber ich finde nix dazu... ausser den Hinweis auf das tecchannel-Tutorial und noch einen anderen Verweis, mit dem ich nicht wirklich was anfangen kann...
    Was ist denn dies "ominöse" IP-Protokoll 50?

    Grüsse
    schuelsche

  2. #2
    Registrierter Benutzer
    Registriert seit
    Jun 2003
    Beiträge
    131
    ich hab in meiner suche im internet zwei sachen gefunden:

    # allow IPsec
    iptables -A FORWARD -i ipsec+ -o eth0 -j ACCEPT
    iptables -A FORWARD -i eth0 -o ipsec+ -j ACCEPT
    # anpassen je nachdem über welche Verbindung ipsec geht
    # IKE negotiations
    iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
    iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
    # ESP encrypton and authentication
    iptables -A INPUT -p 50 -j ACCEPT
    iptables -A OUTPUT -p 50 -j ACCEPT
    # AH authentication header
    iptables -A INPUT -p 51 -j ACCEPT
    iptables -A OUTPUT -p 51 -j ACCEPT

    und


    FW_DEV_EXT="eth1 ipsec0"
    FW_DEV_INT="eth0"
    FW_ROUTE="yes"
    FW_MASQUERADE="yes"
    FW_MASQ_NETS="192.168.0.0/16"
    FW_SERVICES_EXT_UDP="500"
    FW_SERVICES_EXT_IP="50 51"
    FW_FORWARD="192.168.0.0/99,10.0.0.0/16,192.168.0.0/99"

    Wenn du damit was anfangen kannst!
    mfg
    meiner einer

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •