FireStarter и VPN не дружат, как помочь?

[qdesnik]

Проблема проста до безобразия в плане вопроса и немыслима в плане ответа - имеем машину с Ubuntu 10.04 интернет раздается через eth0 посредством соединения VPN (порт 1723) В качестве файрвола стоит FireStarter. Порт 1723 открыт, но при включенном файрволе соединение VPN не устанавливается... Куда копать?

[yuristep]

ну для начала, например, выложить сюда правила iptables
Т.е. выполнить когда "не хочет подключать" iptables-save ...

[drako]

Для впн нужны: протокол TCP порт 1723 и протокол GRE.

[yuristep]

Для впн нужны: протокол TCP порт 80 и протокол GRE.

По протоколу - согласен, хоть и не очень понимаю значение слова "нужен", а вот по поводу "порта 80" - оч-ч-ч-ень хотелось-бы конкретную ссылочку на ман либо рфц .....

[drako]

Для впн нужны: протокол TCP порт 80 и протокол GRE.

По протоколу - согласен, а вот по поводу "порта 80" - оч-ч-ч-ень хотелось-бы конкретную ссылочку на ман либо рфц .....

Тьфу блин, опечатался, чичас подправим.

[linuxkolovorot]

Проблема проста до безобразия в плане вопроса и немыслима в плане ответа - имеем машину с Ubuntu 10.04 интернет раздается через eth0 посредством соединения VPN (порт 1723) В качестве файрвола стоит FireStarter. Порт 1723 открыт, но при включенном файрволе соединение VPN не устанавливается... Куда копать?

копать всё тудаже --iptables
firestarter блочит gre

[qdesnik]

По поводу ip-tables  - посмотрел, она пуста. А разве Firestarter не рулит ей согласно настроек? порт 80 у меня разрешен. Адрес VPN-раздающего тоже внесен в список разрешенных. (10.193.128.1) .  Да, и как пользовать ip-tables если адреса раздаются разные?!!!!

[yuristep]

Я не знаю кто у Вас там и чем "рулит" - я знаю что за функции "файрвола" в линукс-ядре отвечает iproute2, который в свою очередь управляется через iptables. Команда iptables-save выводит список текущих правил  iptables. Если у Вас вывод чист - делайте соответствующие выводы - ни о чем (из того, что Вы хотели) ядро не знает ...
... а выложить сюда вывод iptables-save - "не кошерно" ?

[Гарри Кашпировский]

Я не знаю кто у Вас там и чем "рулит" - я знаю что за функции "файрвола" в линукс-ядре отвечает iproute2

Да? А я всегда думал что это netfilter

[yuristep]

Я не знаю кто у Вас там и чем "рулит" - я знаю что за функции "файрвола" в линукс-ядре отвечает iproute2

Да? А я всегда думал что это netfilter

спасибо, действительно виноват - netfilter

[qdesnik]

по заявкам выложить результат iptables-save
# Generated by iptables-save v1.4.4 on Mon Jan 10 22:48:54 2011
*nat
:PREROUTING ACCEPT [3450:177900]
:POSTROUTING ACCEPT [31475:3011223]
:OUTPUT ACCEPT [31475:3011223]
COMMIT
# Completed on Mon Jan 10 22:48:54 2011
# Generated by iptables-save v1.4.4 on Mon Jan 10 22:48:54 2011
*mangle
:PREROUTING ACCEPT [189265:110840592]
:INPUT ACCEPT [187612:110756522]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [238803:30168210]
:POSTROUTING ACCEPT [255999:32349155]
COMMIT
# Completed on Mon Jan 10 22:48:54 2011
# Generated by iptables-save v1.4.4 on Mon Jan 10 22:48:54 2011
*filter
:INPUT ACCEPT [187612:110756522]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [238803:30168210]
COMMIT
# Completed on Mon Jan 10 22:48:54 2011

[es1840]

Лучше спросить у самого Firestarter...
Идем на страничку http://www.fs-security.com/docs/vpn.php
Читаем

Firestarter 1.0 does not support VPN configurations without some tweaking....

Дальше там-же все расписано. По сути, нужно траффик по форвардингу перекинуть.
47 протокол - это gre.
Если L2TP - 1723 заменить на порт 1701, добавить порт 500 (isakmp). Удачи.
P.S.
Не забутьте в sysctl ip_forward разрешить.
И еще, раз пользуете VPN  - то, кроме ethX (eth0, eth1, и т.д.), у вас еще появился интерфейс pppX (например ppp0).
Ну и , конечно, раз машина с Ubuntu раздает интернет, наверняка, лучше iptables напрямую строить. Все-таки Firestarter - это фронтенд для конечных пользователей.

[yuristep]

es1840:
... ну вот и нахрена зачем такое "счастье" (Firestarter) нужно, если при достаточно типовом вопросе - сразу отсылают к iptables ? ...

qdesnik:
... ну с одной стороны es1840 Вам ответил, а с другой - если у Вас ВПН соединение клиент устанавливает имеено к той машинке, с которой Вы привели iptables-save ... хм.... Во-первых я не наблюдаю в iptables ни единого правила, во-вторых я наблюдаю все цепочки в состоянии "ACCEPT" - "все можно", т.е. не вижу ни малейшей причины не устанавливать ВПН-соединение сервера, крутящегося на этой машинке с клиентом ... А в третьих - не вижу ни одного правила, согласно которого клиент будет получать от Вашей машинки интернет - повторяюсь, правила iptables "девственно чисты", все соединения разрешены ....
Учитывая приведенное es1840 - наверное таки действительно выбрасывайте Firestarter и пишите сразу в правилах iptables - и понятнее будет, и это "без трех секунд" ядро, а не непонятная прослойка

[es1840]

Проблема проста до безобразия

Допустим, у вас трафик приходит на сервер через eth0, а раздаете его вы через VPN, используя eth1.
Значит, вам нужно перенаправить трафик из eth0 на eth1 через канал VPN.
Для этого вам нужно в sysctl прописать ip_forward = 1 для разрешения прохождения пакетов между интерфейсами (forward),
далее вам необходимо преобразовать IP- адреса, ну и т.д.
Копать iptables_tutorial, особенно транзит, NAT, SNAT, MASQUERADE. http://www.linuxshare.ru/docs/security/iptables/iptables-tutorial.html Разделы 3. 6, 6.5.
Еще http://www.ubuntugeek.com/howto-pptp-vpn-server-with-ubuntu-10-04-lucid-lynx.html
И еще http://cviorel.easyblog.ro/2009/02/09/how-to-set-up-a-vpn-server-on-ubuntu/
И еще http://ubuntuforums.org/archive/index.php/t-242538.html поиск по странице слова solved
P.S.Пока вы это не изучите, никто вам не поможет, к сожалению. (не сарказм)

[DIM_ON]

Лучше спросить у самого Firestarter...
Идем на страничку http://www.fs-security.com/docs/vpn.php

Я с этого и начал. Как там написано, добавил в  /etc/firestarter/user-pre строки

(Нажмите, чтобы показать/скрыть)

# Forward PPTP VPN client traffic
$IPT -A FORWARD -i $IF -o $INIF -p tcp --dport 1723 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF -o $INIF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $INIF -o $IF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

И после этого запустил фаерстартер. Только vpn соединение всё равно рвётся.
А защитить хочется. Подскажите, пожалуйста.

P.S. я ничего никому не раздаю одна машина, несколько пользователей. Защищаю (как могу) только её. Ubuntu 10.04.