NATTER le port 1723 (VPN) avec iptablesFermé

Question

Bonjour

a mon travail
j'ai un serveur VPN PPTP derriere une passerelle
internet LINUX avec iptables avec un abonement ADSL (IP fixe) .

le serveur VPN marche : je l'ai testé en local avec le client PPTP natif
de windows XP .

j'ai vu que PPTP utilise le Port TCP 1723
j'ai donc avec iptables fait les regles de redirection qui
vont bien pour diriger le traffic TCP , port 1723 ( j'ai mis
aussi l'UDP port 1723 ) vers le serveur VPN de mon reseau local

mais PPTP utilise pour le transit des donnes le protocole GRE
qui n'est ni du TCP ni de l'UDP ( dans le modele OSI il se situe
au meme niveau que TCP, UDP , ICMP )
je voudrais donc rediriger le traffic "GRE" vers mon serveur VPN
PPTP .
je n'ai pas vu dans iptables comment faire ..
quelqun sait si c'est possible ?


Merci

snooki · Answer

tu as pas essayé de mettre l'option all dans le protocole?
iptables -A FORWARD -p all --dport 1723 -s anywhere -d "ip-du-serveur-vpn" -j ACCEPT
iptables -A FORWARD -p all --sport 1723 -s "ip-du-serveur-vpn" -j ACCEPT
ou sinon tu peux le gérer par mac adresse avec la commande -m mac --mac "adresse-mac du serveur"

snooki · Answer

j'ai oublié de te dire assi qu'il est intéressant pour les connexions qui vont de l'extérieur vers ton lan de faire ta règle de retour en mode established (commande: -m state --state ESTABLISHED RELATED)
Cela interdit ce qui vient d'internet a rentrer sauf si toi tu lui a soumis une requête précédemment.
bon courage

bmath · Answer

Bonjour, j'ai ça et ça marche (eth1 interface Internet, ${LOCAL} interface réseau local,  ${SERVEUR} IP serveur PPTP)

iptables -t nat -A PREROUTING -p gre -i eth1 -j DNAT --to ${SERVEUR}
iptables -A FORWARD -i ${LOCAL} -o eth1 -s ${SERVEUR} -p gre -j ACCEPT
iptables -A FORWARD -i eth1 -o ${LOCAL} -d ${SERVEUR} -p gre -j ACCEPT

-- 
Bruno

NATTER le port 1723 (VPN) avec iptables

3 réponses

Discussions similaires

Newsletters