Boa tarde pessoal. Estou montando um servidor com firewall e VPN (mais tarde talvez adicione proxy). A parte da VPN (
http://www.vivaolinux.com.br/topico/vivaolinux/Problema-VPN-ipsec-Openswan-e-Sonicwall) consegui solucionar e está tudo OK, agora trabalhando no Firewall estou apanhando para regras do IPtables.
Minha topologia está mais ou menos assim:
mtz (192.168.2.0/24) === VPN === filial (10.20.31.0/24)
Com as regras defaults do iptables eu consigo chegar até as maquinas da filial e vice-versa porém preciso garantir segurança do ambiente entao estou tentando fechar as portas.
Por enquanto tenho o seguinte script:
"
#Alterando politicas para DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
#Iniciando regras de liberação
#Libera acesso ao FW por SSH para rede interna
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Libera rede interna a acessar o FW
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
#Libera roteamento para rua EXCETO saida para VPN
iptables -t nat -A POSTROUTING ! -d 10.20.31.0/24 -s 192.168.2.0/24 -j MASQUERADE
"
OK. quando executo este script paro de pingar as maquinas da filial mas a conexao para rua (internet) continua OK.
MAS se executo apenas:
iptables -t nat -A POSTROUTING ! -d 10.20.31.0/24 -s 192.168.2.0/24 -j MASQUERADE
tudo funciona perfeitamente.
Cheguei a tentar adicionar essas linhas para tentar pingar as maquinas da filial mas nao deu certo
iptables -A FORWARD -s 10.20.31.0/24 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 10.20.31.0/24 -j ACCEPT
alguma ideia? acredito que alguma das minhas regras de negação estaja afetando meu "nat-masquerade" da rede interna para VPN.
tenho uma postagem deste assunto no VOL tbm (
http://www.vivaolinux.com.br/topico/netfilter-iptables/Duvida-Iptables-+-VPN)