forum.opennet.ru - "IPTABLES модули для VPN на протоколе ESP" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPTABLES модули для VPN на протоколе ESP"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPTABLES модули для VPN на протоколе ESP"
Сообщение от HappyS (ok) on 03-Окт-07, 17:07
Помогите пожалуйста, подскажите! Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на ESP протоколе. У меня фаэрволом является IPTABLES с модулями ip_conntrack_netbios_ns ip_nat_ftp ip_conntrack_ftp ip_gre И подскажите правильный порядок действи я при инсталляции модуля? Рисковано ли это - менять ядро в линуксе? Где почитать про описание модулей к IPTABLES?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPTABLES модули для VPN на протоколе ESP, Serge, 14:38 , 04-Окт-07, (1)

IPTABLES модули для VPN на протоколе ESP, HappyS, 10:05 , 05-Окт-07, (2)

IPTABLES модули для VPN на протоколе ESP, Serge, 11:24 , 05-Окт-07, (3)

IPTABLES модули для VPN на протоколе ESP, HappyS, 10:30 , 08-Окт-07, (4)

IPTABLES модули для VPN на протоколе ESP, HappyS, 15:54 , 17-Окт-07, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPTABLES модули для VPN на протоколе ESP"

Сообщение от Serge (??) on 04-Окт-07, 14:38

Эх.... какой вопрос пропадает. Песня просто
>Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на
>ESP протоколе.
"-p esp" что-то говорит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPTABLES модули для VPN на протоколе ESP"

Сообщение от HappyS (ok) on 05-Окт-07, 10:05

>Эх.... какой вопрос пропадает. Песня просто
>
>>Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на
>>ESP протоколе.
>
>"-p esp" что-то говорит?
понял, что было - разобрался - у меня в конфигурации стояли строчки в таблице FILTER
:INPUT ACCEPT [6119:344155]
:FORWARD ACCEPT [1685:1247089]
:OUTPUT ACCEPT [13109:4296753]
а все онулил!!!
Скажите, так бюезопасно оставлять? Как вы используете эти цифры и что они значат? Да и модуль на ESP все-таки хорошо бы знать по  имени.
-p esp -?  Можно полную формулировку? Это iptables должен говорить?
PS .. а что вопрос хороший?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPTABLES модули для VPN на протоколе ESP"

Сообщение от Serge (??) on 05-Окт-07, 11:24

>:INPUT ACCEPT [6119:344155]
>:FORWARD ACCEPT [1685:1247089]
>:OUTPUT ACCEPT [13109:4296753]
>Скажите, так бюезопасно оставлять?
Все разрешено - это не очень безопасно. Зато очень удобно
>-p esp -?  Можно полную формулировку? Это iptables должен говорить?
Например так:
iptables -A INPUT -p esp -j ACCEPT
>PS .. а что вопрос хороший?
Вопрос безграмотный до дальше некуда.
Ладно, попробую дать правильный ответ на неправильный вопрос.
Итак VPN у вас ipsec. Для разрешения в пакетном фильтре нужно сделать _примерно_ следующее:
iptables -A INPUT -p esp -j ACCEPT   <- это разрешение непосредственно esp
iptables -A INPUT -p ah  -j ACCEPT   <- это разрешение ah
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT <- это разрешение IKE
iptables -A INPUT -p udp --dport 4500 -j ACCEPT  <- это разрешение NATT
Все это довольно прилично описано в LARTC

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPTABLES модули для VPN на протоколе ESP"

Сообщение от HappyS (ok) on 08-Окт-07, 10:30

>[оверквотинг удален]
>iptables -A INPUT -p esp -j ACCEPT   <- это разрешение
>непосредственно esp
>iptables -A INPUT -p ah  -j ACCEPT   <- это
>разрешение ah
>iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT <-
>это разрешение IKE
>iptables -A INPUT -p udp --dport 4500 -j ACCEPT  <- это
>разрешение NATT
>
>Все это довольно прилично описано в LARTC
Т.е. можно обойтись без дополнительно установленных модулей, чтобы пропускать VPN всех форматов? Интересно, а на OUTPUT не надо эти же правила прописывать, еслипакеты входят и выходят через мой шлюз?
Что такое LARTC?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPTABLES модули для VPN на протоколе ESP"

Сообщение от HappyS (ok) on 17-Окт-07, 15:54

Скажите только, что это за ошибка при выполнении процедуры аутентификации двух удаленных узлов по VPN (tcpdump выдал)
ip1.tcpmux > ip2.tsakmp: phase2/others ? inf[E]
ip2 > icmp.host ip1 inreachable - admin prohibited filter

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPTABLES модули для VPN на протоколе ESP"
Сообщение от Serge (??) on 04-Окт-07, 14:38
Эх.... какой вопрос пропадает. Песня просто >Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на >ESP протоколе. "-p esp" что-то говорит?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "IPTABLES модули для VPN на протоколе ESP"
	Сообщение от HappyS (ok) on 05-Окт-07, 10:05
	>Эх.... какой вопрос пропадает. Песня просто > >>Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на >>ESP протоколе. > >"-p esp" что-то говорит? понял, что было - разобрался - у меня в конфигурации стояли строчки в таблице FILTER :INPUT ACCEPT [6119:344155] :FORWARD ACCEPT [1685:1247089] :OUTPUT ACCEPT [13109:4296753] а все онулил!!! Скажите, так бюезопасно оставлять? Как вы используете эти цифры и что они значат? Да и модуль на ESP все-таки хорошо бы знать по имени. -p esp -? Можно полную формулировку? Это iptables должен говорить? PS .. а что вопрос хороший?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "IPTABLES модули для VPN на протоколе ESP"
	Сообщение от Serge (??) on 05-Окт-07, 11:24
	>:INPUT ACCEPT [6119:344155] >:FORWARD ACCEPT [1685:1247089] >:OUTPUT ACCEPT [13109:4296753] >Скажите, так бюезопасно оставлять? Все разрешено - это не очень безопасно. Зато очень удобно >-p esp -? Можно полную формулировку? Это iptables должен говорить? Например так: iptables -A INPUT -p esp -j ACCEPT >PS .. а что вопрос хороший? Вопрос безграмотный до дальше некуда. Ладно, попробую дать правильный ответ на неправильный вопрос. Итак VPN у вас ipsec. Для разрешения в пакетном фильтре нужно сделать _примерно_ следующее: iptables -A INPUT -p esp -j ACCEPT <- это разрешение непосредственно esp iptables -A INPUT -p ah -j ACCEPT <- это разрешение ah iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT <- это разрешение IKE iptables -A INPUT -p udp --dport 4500 -j ACCEPT <- это разрешение NATT Все это довольно прилично описано в LARTC
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPTABLES модули для VPN на протоколе ESP"
	Сообщение от HappyS (ok) on 08-Окт-07, 10:30
	>[оверквотинг удален] >iptables -A INPUT -p esp -j ACCEPT <- это разрешение >непосредственно esp >iptables -A INPUT -p ah -j ACCEPT <- это >разрешение ah >iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT <- >это разрешение IKE >iptables -A INPUT -p udp --dport 4500 -j ACCEPT <- это >разрешение NATT > >Все это довольно прилично описано в LARTC Т.е. можно обойтись без дополнительно установленных модулей, чтобы пропускать VPN всех форматов? Интересно, а на OUTPUT не надо эти же правила прописывать, еслипакеты входят и выходят через мой шлюз? Что такое LARTC?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "IPTABLES модули для VPN на протоколе ESP"
	Сообщение от HappyS (ok) on 17-Окт-07, 15:54
	Скажите только, что это за ошибка при выполнении процедуры аутентификации двух удаленных узлов по VPN (tcpdump выдал) ip1.tcpmux > ip2.tsakmp: phase2/others ? inf[E] ip2 > icmp.host ip1 inreachable - admin prohibited filter
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]