Mascarando conexões VPN com iptables

Caso você possua um servidor VPN em uma conexão mascarada você pode utilizar o Linux para redirecionar os pacotes GRE para este servidor.

[ Hits: 68.353 ]

Por: Wanderson Berbert em 19/07/2003


Iniciando



Para que o redirecionamento funcione corretamente é necessário que a versão do kernel seja 2.2 ou superior (preferencialmente 2.4) , que este esteja configurado para aceitar repasse de pacotes e com o iptables funcionando corretamente.

Este redirecionamento não funciona corretamente com versões anteriores do kernel e não funciona utilizado ipchains ou ipfwadm.

Este artigo foi escrito para a versão Debian GNU/Linux, mas pode ser adaptado para outras versões pois o conceito é o mesmo.

    Próxima página

Páginas do artigo
   1. Iniciando
   2. Por que utilizar?
   3. Configurando o kernel
   4. Mascarando
   5. Concluindo
Outros artigos deste autor

Criando relatórios estatísticos com o webalizer

Implementando auto-resposta utilizando o Exim

Nagios - Um poderoso programa de monitoramento de rede (parte 1)

NetOffice - Sistema de gerenciamento de projetos

Criando relatórios estatísticos da web com o awstats

Leitura recomendada

Servidor de e-mail completo

Monitoramento de portas com netcat

Criando seu próprio servidor de DNS dinâmico (nsupdate + bind9)

Um pouco do protocolo HTTP

Internet no Linux através de celular HTC TYTN II

  
Comentários
[1] Comentário enviado por fabio em 19/07/2003 - 04:24h

Fala primo,

Estávamos sentindo falta dos seus artigos no Viva o Linux :)

Bom, só para dar 1 byte de contribuição, quando você fala em compilar o kernel no Debian. Existe um artigo muito bom aqui no site que fala sobre isso mais detalhadamente, vale à pena ficar como leitura recomendada ao pessoal:

Recompilando o kernel na distribuição Debian
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=184

[2] Comentário enviado por talesntc em 19/01/2004 - 00:29h

Tenho um problema e gostaria de saber se isso pode resolver.

Forneco um ip inválido 192.169.0.1 para uma estação que deve se comunicar através de vpn com um endereço válido fora da rede local com um endereço 200.xxx.xxx.xxx

Posso utilizar este artigo para isso?

[3] Comentário enviado por wberbert em 19/01/2004 - 10:45h

Pode sim, você pode ter uma máquina interna a rede com ip falso se comunidando com uma máquina externa e também uma máquina externa se comunicando com uma máquina interna, tudo isso utilizando mascaramente de IP e redirecionamento de pacotes.

[4] Comentário enviado por wberbert em 19/01/2004 - 10:45h

Pode sim, você pode ter uma máquina interna a rede com ip falso se comunidando com uma máquina externa e também uma máquina externa se comunicando com uma máquina interna, tudo isso utilizando mascaramente de IP e redirecionamento de pacotes.

[5] Comentário enviado por ag_andrade em 27/07/2004 - 09:21h

Ola....li seu artigo sobre VPN e Mascaramento, mas tenho uma dúvida.

Se caso eu queira fazer uma vpn em mais de uma estação atrás de um mesmo firewall linux tenho que especificar um ip válido para diferenciar o redirecionamento certo ???

Tem outro jeito de fazer isso ????

[6] Comentário enviado por bashbr em 04/02/2005 - 09:12h

Artigo muito interessante e muito útil.
Utilizei o redirecionamento para uma situação atípica na empresa
e funcionou perfeitamente.

Muito bom!!

[7] Comentário enviado por wberbert em 04/02/2005 - 10:41h

Na ocasião esta solução tb resolveu o meu problçema :).
Soluções boas são aquelas que resolvem nossos problemas.

[8] Comentário enviado por evsivier em 21/02/2005 - 01:13h

Wanderson.
Preciso de uma ajuda.
Tenho um IPtables filtrando duas redes, a interna e uma externa (Link LP). A interface externa esta conectada a um roteador e o endereço deste segmento é X.
Fiz o NAT da minha rede interna para a net da rede externa (X).
Existe uma comunicacao por uma VPN (Ip Tunneling) entre uma estacao da rede interna e o servidor da rede externa.
Apesar de eu ter efetuado as tarefas de NAT e de configuração de regras nao consegui fazer as partes se falarem pois o header dos cabecalhos IP encriptados sao alterados durante o trabalho do IPTABLES.
Preciso instalar um freeswan no firewall para que o Kernel entenda a estrutura de pacotes encriptados e nao os altere em tempo de NAT ?
Onde estou errando ?

Valeu !!

[9] Comentário enviado por neriberto em 04/03/2005 - 08:48h

evsivier você deve estar enfretando o mesmo problema que eu tive, de uma olhada neste arquivo http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1413

[10] Comentário enviado por rmedeiros em 14/03/2005 - 18:11h

Olá amigo muito bom tutu, mas tenho a seguinte situaçã, tenho uma vpn e tenho o gateway da rede como posso fazer para não utilizar a vpn como gateway da rede, ou seja usar meu gateway que já tenho hoje e redirecionar os pacotes para a vpn da para se fazer isso

[11] Comentário enviado por glaudiston em 09/08/2006 - 12:25h

Eu uso aqui na empresa um kurumin configurado como servidor de firewall, e tem um de nossos clientes q possui um servidor vpn em uma rede externa à nossa aqui da empresa...
tenho q configurar um cliente win xp para acessar esta rede vpn mas está dando o erro 619...
não entendi direito se este artigo serve para este caso...
se não serve, podem me indicar algo q sirva?
se serve, é mesmo necessário recompilar o kernel mesmo sendo ele 2.4 pra executar este artigo, ou posso pular este passo?

[12] Comentário enviado por reinaldopapa em 18/03/2007 - 20:38h

wberbert essas configuração funciona so com ip valido ou funciona não valido.

[13] Comentário enviado por lucasmcz em 17/04/2007 - 17:43h

Wanderson Berbert

Minha situação é a seguinte:

Tenho duas redes e em uma delas, alguns usuários usam VPN do tipo Host-to-site ou hosto-to-lan, ou seja, eles estão na minha rede, atrás do meu firewall, porém querem conexão com um Servidor de VPN que está na internet. Na maioria das vezes é utilizado o VPN Client da Cisco, senão usam uma conexão dial-up do Windows XP.

Pergunta:

Como seria a regra para deixar isso padrão para qualquer IP?
Atribuir a regra a interface da rede interna ou não é possível fazer isso?

Espero a ajuda de você Wanderson Berbert e de todo.

Abraços

[14] Comentário enviado por Deuz em 06/07/2009 - 16:18h

Boa tarde Wanderson Berbert.

Estou para implantar um acesso remoto e vou usar a VPN, pois pelo TS, nao será possivel devido a licença de uso, assim sendo, minha necessidade é a seguinte.

Tenho uma rede onde roda o Windows Server 2003 com as conexões devidamente criadas, nessa rede, todas as conexões para a internet sao deitas atraves de um proxy, usando o CL10(meio antigo por sinal), o mesmo roda um firewall.

na Filial, tm outra rede e usa speedy, quero que as maquinas da filial se conectem ao servidor que está dentro de outra rede e protegido pelo firewall e proxy.

Pergunto, esse artigo que vc contribuiu, dá certo, pode ser usado pra isso?

Muito grato pela ajuda.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor HostGator.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Viva o Android

Tópicos

Top 10 do mês

Scripts