Poptopによる VPN メンテナンス経路の確保
第6回 PPTP のネットワーク的特徴とファイアーウォールのポリシー

Linux-eden >> 第6回 PPTP のネットワーク的特徴とファイアーウォールのポリシー

 

  • PPTPで使用するプロトコルとポート

     PPTPで使用するポートをPPTPサーバー側の視点から見ると、

    • Incoming の TCP/IP 1723番ポート
    • その帰りのパケットである Outgoing のTCP/IP 1024~65535番ポート
    • Incoming / Outgoing 両方の GRE/IP (プロトコル番号47番)


     の3つを使用しています。
     当然、この2つの間の経路において、これらがフィルタリングされていてはなりません。



  • iptables における PPTP を通す設定

     ここでは詳しく説明しませんが、PPTPD を通すには、以下のようなシェルスクリプトを実行すればよいでしょう。
     ただし、ここでは

      ・OUTPUT チェインのポリシーが ACCEPT
      ・eth0 はインターネットへの接続である
      ・eth1はLANへの接続である

     を前提としています。
     また、必要な部分についてはご自分で書き足してください。

    #!/bin/sh

    ### Enables IP forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ####### Flush-----------------------
    iptables -t filter -F FORWARD
    iptables -t filter -F INPUT

    ####### Forward-----------------------

    ### basically , all forward packets are dropped.
    iptables -t filter -P FORWARD DROP

    ###Accept all trafic from intranet to internet.
    iptables -t filter -A FORWARD -i eth1 -j ACCEPT

    ### Established connections and Related packets are accepted.
    # For exsample, This will allow DNS queries from local network.
    # but not allows incoming DNS queries.
    iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    ####### PPTP----------------------------

    ### Allow TCP/IP 1723 port
    iptables -t filter -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT

    ### Allow GRE/IP (Protocol number 47)
    iptables -t filter -A INPUT -i eth0 -p 47 -j ACCEPT

    ### Allow all packets from PPTP interface
    iptables -t filter -A INPUT -i ppp+ -j ACCEPT
    iptables -t filter -A FORWARD -i ppp+ -j ACCEPT



    さて、次はいよいよ Windows 側の設定に入ります。


6/7


 

Linux-eden へ
戻る


ひろもの国へ戻る

このページは、現状ありのままの状態で提供させていただいております。本ページの情報はあくまでも自己責任の元にご利用ください。
お問い合わせなどは、meiweng2@yahoo.co.jpまでお願いいたします。