Regra vpn pptp iptables

pentestbox · 13 de Novembro de 2014, 11:42

Ola pessoal, o meu firewall iptables possui todas as politicas padrão com DROP, e depois eu criei regras pra liberar o acesso as portas 80 e 443 pra navegar na internet, ate ai tudo bem, so que agora estou precisando me conectar numa vpn pública pptp, dessas free que existem na web, e ja tentei inumeras regras pro iptables e não consigo me conectar, so se desabilitar o firewall que consigo me conectar a vpn, estou precisando da regra pra permitir a minha conexão via vpn pptp no iptables, conto com a ajuda de vcs.
Desde já Obrigado.

zekkerj · 13 de Novembro de 2014, 18:26

Citaro meu firewall iptables possui todas as politicas padrão com DROP

Até a OUTPUT? Você é um bravo.

Citarso que agora estou precisando me conectar numa vpn pública pptp, dessas free que existem na web, e ja tentei inumeras regras pro iptables e não consigo me conectar, so se desabilitar o firewall que consigo me conectar a vpn, estou precisando da regra pra permitir a minha conexão via vpn pptp no iptables, conto com a ajuda de vcs.

Você tem que liberar a porta 1723/tcp e o protocolo IP GRE.
http://www.vivaolinux.com.br/topico/Squid-Iptables/IPTABLES-PPTPGRE

pentestbox · 14 de Novembro de 2014, 18:36

Sim esta tudo Bloqueado , input,forward e output estão como DROP, mas eu navego pois liberei as portas 80 e 443 e a de dns, vou dar uma olhada no link, mas so pra ter uma ideia esta assim:

#!/bin/bash

#Bloqueia Tudo

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Libera Loopback

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Libera DNS(porta 53)

iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT

#libera HTTP(porta 80)

iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024:65535 -j ACCEPT

#libera HTTPS(porta 443)

iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 --dport 1024:65535 -j ACCEPT

Agora so falta mesmo conseguir acesso via vpn pptp

O problema que não sei como liberar a porta 1723 e gre, tem como vc digitar a regra pra mim

zekkerj · 14 de Novembro de 2014, 19:04

Você leu o link que eu passei? Tudo é explicado lá.

pentestbox · 18 de Novembro de 2014, 11:24

li o link mas estou com duvidas nas linhas:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-dest ip_privado_serverVPNPPTP
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 1723 -j DNAT --to-dest ip_privado_serverVPNPPTP
iptables -A FORWARD -p tcp -i eth0 --dport 1723 -d ip_privado_serverVPNPPTP -j ACCEPT
iptables -A FORWARD -p tcp -i eth2 --dport 1723 -d ip_privado_serverVPNPPTP -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 1723 -d ip_privado_serverVPNPPTP -j ACCEPT

visto que eu não possuo o ip do servidor pptp, é apenas um servidor de vpn pptp gratuito na internet, como vou preencher os campos ip_privado_serverVPNPPT

zekkerj · 18 de Novembro de 2014, 13:11

Ah, você está se conectando numa VPN externa? Nesse caso você precisa colocar as linhas de liberação na cadeia OUTPUT.
PS: Política DROP na cadeia OUTPUT é só para os bravos. Tem certeza de que quer continuar fazendo isso?

pentestbox · 18 de Novembro de 2014, 15:53

Amigo me explique o que vc quer dizer com isso sobre a chain output como DROP?
vc acha que estou fazendo errado em deixar todas as politicas padrão como DROP e so ir liberando o que realmente se deve usar?
eu acho que com o INPUT,OUTPUT,FORWARD como DROP eu consigo ter mais segurança, ja que estou apenas a usar o sistema so pra navegar na web, o que fiz foi liberar mesmo as portas 80 e 443 pra navegar.
O meu maior problema mesmo e fazer isso funcionar pra eu me conectar a uma vpn pública

zekkerj · 18 de Novembro de 2014, 16:29

CitarAmigo me explique o que vc quer dizer com isso sobre a chain output como DROP?

Só estou comentando minha experiência. Usar política DROP na cadeia OUTPUT é motivo para muitos problemas, e gera necessidade de ajustes constantes no script, já que vc precisa liberar manualmente todo o tráfego de saída.

Citarvc acha que estou fazendo errado em deixar todas as politicas padrão como DROP e so ir liberando o que realmente se deve usar?

Usar essa política foi decisão sua. Quem sou eu pra dizer que vc está errado fazendo isso? Só estou te alertando da dificuldade.

pentestbox · 18 de Novembro de 2014, 16:52

Citação de: zekkerj online 18 de Novembro de 2014, 16:29
CitarAmigo me explique o que vc quer dizer com isso sobre a chain output como DROP?
Só estou comentando minha experiência. Usar política DROP na cadeia OUTPUT é motivo para muitos problemas, e gera necessidade de ajustes constantes no script, já que vc precisa liberar manualmente todo o tráfego de saída.

Citarvc acha que estou fazendo errado em deixar todas as politicas padrão como DROP e so ir liberando o que realmente se deve usar?
Usar essa política foi decisão sua. Quem sou eu pra dizer que vc está errado fazendo isso? Só estou te alertando da dificuldade.

Entendi, é pq acho que é mais seguro , bloquear acesso de todos os lados e so ir liberando o que realmente ira usar, so o problema mesmo e em relação a vpn fora isso nunca tive problemas com tudo no DROP