Hallo zusammen, ich habe über eine ppp Verbindung meinen geliebten Anschluss an die Aussenwelt. Nu habe ich das SuSE Firewall so konfiguriert das es masquerading macht und aber auch spezielle Ports von aussen errecihbar auf im Netz stehende Server mappt. Klappt soweit auch prima, nur nicht mit dem PPTP Server. Es gibt also eine Zeile in der fw Konfig die sieht so aus : FW_FORWARD_MASQ_TCP="0/0,192.168.0.50,1723" der 50er Server ist mein pptp Server und 1723 der port auf dem der vpn pptp client von der Windoof maschine connecten will. Man sieht im log das das er das auch probiert auf dem Port und erfolgreich ist und dann will er aber Port 65*** verbinden und das geht natürlich schief. Gibt es dafür eine Lösung? Wie machen denn das andere Services? Wer hat ne Idee oder am besten ne Loesung ? Stefan
On Thursday 19 July 2001 09:06, Stefan Goerres wrote:
Hallo zusammen,
ich habe über eine ppp Verbindung meinen geliebten Anschluss an die Aussenwelt. Nu habe ich das SuSE Firewall so konfiguriert das es masquerading macht und aber auch spezielle Ports von aussen errecihbar auf im Netz stehende Server mappt. Klappt soweit auch prima, nur nicht mit dem PPTP Server. Es gibt also eine Zeile in der fw Konfig die sieht so aus :
FW_FORWARD_MASQ_TCP="0/0,192.168.0.50,1723"
der 50er Server ist mein pptp Server und 1723 der port auf dem der vpn pptp client von der Windoof maschine connecten will. Man sieht im log das das er das auch probiert auf dem Port und erfolgreich ist und dann will er aber Port 65*** verbinden und das geht natürlich schief. Gibt es dafür eine Lösung? Wie machen denn das andere Services?
Wer hat ne Idee oder am besten ne Loesung ?
Paketfiltereigenschaften von PPTP: Richtung|Quelle|Ziel|Proto|Q-Port|Z-Port|ACK|Anm. --------+------+----+-----+------+------+---+------------------------- rein |ext |int |GRE |a) |a) |b) |Tunneldaten ext. C an S --------+------+----+-----+------+------+---+------------------------- raus |int |ext |GRE |a) |a) |b) |Tunnelantwort S an ext C --------+------+----+-----+------+------+---+------------------------- rein |ext |int |TCP |>1023 |1723 |c) |Setupanfrage ext C an S --------+------+----+-----+------+------+---+------------------------- raus |int |ext |TCP |1723 |>1023 |ja |Setupantwort S an ext. C --------+------+----+-----+------+------+---+------------------------- --------+------+----+-----+------+------+---+------------------------- raus |int |ext |GRE |a) |a) |b) |Tunneldaten int. C an S --------+------+----+-----+------+------+---+------------------------- rein |ext |int |GRE |a) |a) |b) |Tunnelantwort S an int. C --------+------+----+-----+------+------+---+------------------------- raus |int |ext |TCP |>1023 |1723 |c) |Setupanfrage int. C an S --------+------+----+-----+------+------+---+------------------------- rein |ext |int |TCP |1723 |>1023 |ja |Setupantwort S an int. C --------+------+----+-----+------+------+---+------------------------- ---------------------------------------------------------------------- a) GRE besitzt keine Ports, sonder Protokolltypen und PPTP ist Proto- kolltyp hex. 880B b) GRE besitzt kein Aequivalent zu ACK c) ACK wird beim Verbindungsaufbau nicht gesetzt, aber beim Rest. Wie Du aus oberer Tabelle (Quelle: Building Internet Firewalls, O'Reilly&Associates) ersehen kannst ist nur _eingehenedes_ PPTP (d.h. der Server befindet sich hinter der Firewall und der Client kommt von aussen) einigermassen sicher zu bewerkstelligen. Dies wird in der oberen Haelfte der Tabelle dargestellt. Willst Du zu einem externen Server verbinden musst Du alle Ports ueber 1023 fuer Connections vom Quell-Port 1723 freischalten ... (ziemliches Loch). Fuer eingehende _Antowort_-Pakete musst in jedem Fall alle Ports ueber 1023 via ACK filtern (Ein TCP-Verbindungsaufbau ist durch einen 3-way-handshake charakterisiert, in dem nur das allererste Paket ein einzelnes SYN-Flag gesetzt hat. Das zweite hat SYN/ACK und alle folgenden nur noch ACK. So laesst sich schoen eine Antwort auf beliebigen Ports durchlassen, Anfragen bleiben aber draussen.). Mit einem stateful Filter (iptables/ipfilter z.B.) geht das ganze schoener, weil man nicht alle Ports fuer Antworten oeffnen muss, sondern der Paketfilter dynamisch Regeln fuer verwandte Connections erstellt (Connection-Tracking). Hoffe geholfen zu haben. mfg, Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
participants (2)
-
Gerhard Feiner
-
Stefan Goerres