Openswan, ipsec ustawienie firewalla

redgrist · Post autor: **redgrist** » 05 lutego 2015, 11:10

Mam taki o to problem:
Kiedy mam odpalonego ipsec wszystko działa elegancko puki nie odpalę firewalla:

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter




######### firewall #########




# Ustawienie domyslnej polityki




iptables -P INPUT DROP


iptables -P OUTPUT ACCEPT  # akceptujemy wszystko co od nas wychodzi


iptables -P FORWARD DROP

Odblokowuję:

Kod: Zaznacz cały

iptables -A INPUT -p tcp -s 0/0 --dport 50 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 50 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 51 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 51 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 500 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 500 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 4500 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 4500 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 1701 -j ACCEPT
iptables -A INPUT -p esp -s 0/0 -j ACCEPT

I niestety nie mam możliwości pingowania tunelu, jest on wtedy tylko spięty.
To każe uważać, że nie puszczam jakiegoś portu jak sądzę, tylko jakiego, bo wydaje się, że wszystkie tu uwzględniłem.
Połączenie wygląda tak:

Linux --------OO--------> RV042 Linksys

pawkrol · Post autor: **pawkrol** » 05 lutego 2015, 12:58

Wyłącz firewalla, zestaw tunel i zobacz czy wtedy masz możliwość puszczenia pinga.
Ponadto Ipsec działa w oparciu o:
Port UDP 500
Port UDP 4500
Ewentualnie UDP 1701 dla l2tp
Oraz protokoły : esp,ah,ipcomp
Ja widzę, ze masz otwarte niepotrzebne porty. Jak dla mnie pomyliłeś port z protokołem ( 50,51)

redgrist · Post autor: **redgrist** » 05 lutego 2015, 13:41

Dziękuję za odpowiedź.

Wyłącz firewalla, zestaw tunel i zobacz czy wtedy masz możliwość puszczenia pinga.

Tak jak pisałem, jak nie mam odpalonego firewalla to działa spoko.
Jak odpalę to połączenie jest ale niema transmisji.

Na pewno mam nadmiar otwartych portów, ale to dlatego, że szukam co blokuje.

pawkrol · Post autor: **pawkrol** » 05 lutego 2015, 13:51

Masz politykę na DROP. Więc nie dziwota że ci ping nie działa. Dopuść pakiety icmp
Ponadto pingujesz interfejs na serwerze vpn czy gdzieś dalej w sieci (forward) ? bo tu też może być problem.
Ewentualnie daj regułę -j LOG i na górę firewalla i zobacz co tak naprawdę jest blokowane.

redgrist · Post autor: **redgrist** » 05 lutego 2015, 13:57

Tam za RV42 routerem jest sobie 192.168.3.1 jego brama i on normalnie odpowiada, ale jak zrobię DROP to umiera, więc chcę go dopuścić, ale nie wiem jak to zrobić,
wszelkie wpisy nic nie dają tunel spięty pakiety nie latają. Po stronie serwera na Linuksie jest sobie 192.168.5.1 taki interfejs i mogę go z tego RV pingować... dopuki nie zrobię DROP wiadomo.

pawkrol · Post autor: **pawkrol** » 05 lutego 2015, 14:08

Ale gdzie robisz ten DROP ? Wyjaśnij dokładniej. RV42 rozumiem że to jest router. Na nim masz zrobionego ipsec? Czy gdzieś w sieci a on tylko przerzuca pakiety ? Skąd się łączysz ?
Przydałby się jakiś schemat.

redgrist · Post autor: **redgrist** » 05 lutego 2015, 19:42

DROP robię na Linuksie w firewallu jak odpalę skrypt to nie ma zupełnie komunikacji z RV042

Wygląda to tak:

Links 192.168.5.1 eth2 / Publiczny IP na eth1 <-------------------necik------------------> Publiczny IP / Lan 192.168.3.1 RV042 Router Linksysa

I jak z linuxa zrobię ping 192.168.3.1 to leci, tunel działa, wszyscy się radują.
Jak odpalę firewalla (wycinek powyżej) to ruch zamiera i co bym nie wpisywał nie jestem w stanie przywrócić komunikacji.

eth1 to WAN, eth2 to LAN na debianie

Dodane:

Kod: Zaznacz cały

root@shadow:/etc# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  192.168.1.0/24       anywhere             tcp dpt:zabbix-agent
ACCEPT     tcp  --  192.168.1.0/24       anywhere             tcp dpt:zabbix-trapper
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8822
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:xmpp-client
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:xmpp-server
ACCEPT     udp  --  anywhere             anywhere             udp dpt:9987
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:30033
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:10011
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:41144
ACCEPT     udp  --  anywhere             anywhere             udp dpt:2010
ACCEPT     udp  --  anywhere             anywhere             udp dpt:2011
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:re-mail-ck
ACCEPT     udp  --  anywhere             anywhere             udp dpt:re-mail-ck
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:51
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4500
ACCEPT     udp  --  anywhere             anywhere             udp dpt:4500
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:l2f
ACCEPT     udp  --  anywhere             anywhere             udp dpt:l2f
ACCEPT     esp  --  anywhere             anywhere
ACCEPT     esp  --  anywhere             anywhere
ACCEPT     ah   --  anywhere             anywhere
ACCEPT     ipcomp--  anywhere             anywhere


Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.3.0/24       192.168.5.0/24       policy match dir out pol ipsec
ACCEPT     all  --  192.168.5.0/24       192.168.3.0/24       policy match dir in pol ipsec
ACCEPT     all  --  anywhere             192.168.5.0/24
ACCEPT     all  --  192.168.5.0/24       anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:re-mail-ck
ACCEPT     udp  --  anywhere             anywhere             udp dpt:re-mail-ck
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:51
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4500
ACCEPT     udp  --  anywhere             anywhere             udp dpt:4500
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:l2f
ACCEPT     udp  --  anywhere             anywhere             udp dpt:l2f
ACCEPT     esp  --  anywhere             anywhere


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere

Brakowało:

Kod: Zaznacz cały

iptables -A INPUT -s 87.1X.X.06 -j ACCEPT

Czyli wyjątku dla publicznego IP router RV042

pawkrol · Post autor: **pawkrol** » 05 lutego 2015, 23:10

Moim zdaniem to nie jest wyjście, gdyż otworzyłeś wszystkie porty tyle że dla konkretnego adresu. Jeśli jeszcze komputery w sieci są maskowane tym ip to lepiej to zmień.

redgrist · Post autor: **redgrist** » 05 lutego 2015, 23:21

To jest IP zdalnego routera, czyli zezwalam tylko jemu na dostęp. To nie jest IP serwera z masq. To co jeszcze mogę zrobić to podać jakie porty to IP może ogarniać, ale czy ma to sens? Wątpię.