Léa-Linux & amis :   LinuxFR   GCU-Squad   GNU
tunnel pptp windows + routeur linux ... alerte spoofing
Envoyé par: Steph10200

bonjour,

voila, j'ai un serveur 2000 ( angry smiley) ) sur mon lan et des clients en XP (angry smiley) )

par contre, j'ai un routeur en linux (2.4.19)

Mon script de firewall iptables fonctionne bien, tellement bien que j'avais prevu un blocage du spoofing.

je met les passages du script important :

        $IPT -P INPUT DROP # drop
        $IPT -P FORWARD ACCEPT #drop
        $IPT -P OUTPUT ACCEPT #accept
...
        $IPT -A INPUT -i $WAN_NIC -s 192.168.0.0/16  -j spoofing
        $IPT -A FORWARD -i $WAN_NIC -s 192.168.0.0/16  -j spoofing
        $IPT -A OUTPUT -o $WAN_NIC -d 192.168.0.0/16  -j spoofing
...
        $IPT -t nat -A POSTROUTING -s $LAN -j MASQUERADE
        $IPT -A FORWARD -i $LAN_NIC -s $LAN -j ACCEPT
        $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
...
        echo "port 1723 accept"
        $IPT -A FORWARD -j ACCEPT -p tcp --dport 1723    #pptp
        $IPT -A INPUT -j ACCEPT -i $WAN_NIC -p tcp --dport 1723  #pptp
        $IPT -A PREROUTING -t nat -i $WAN_NIC -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.1:1723 # forward port vnc

#routage GRE
        $IPT -A FORWARD -p gre -j ACCEPT
        $IPT -t nat -A POSTROUTING -p gre -j ACCEPT
        $IPT -t nat -A PREROUTING -p gre -j ACCEPT
        $IPT -A PREROUTING -t nat -i $WAN_NIC -p gre -j DNAT --to 192.168.0.1
...

et quand je lance une connexion pptp depuis client XP, j'ai des messages de spoofing venant de l'adresse ip locale de mon pc distant (connecté derriere 9box donc 192.168.1.2 Mon lan (avec le serveur 2000) est en 192.168.0.0/24

A savoir :

Sep  2 10:05:15 routeur kernel: martian source aa.bb.cc.dd from 192.168.1.2, on dev ppp0
Sep  2 10:05:15 routeur kernel: ll header: 45:08:00:28:19:7d:40:00
Sep  2 10:05:57 routeur kernel: martian source aa.bb.cc.dd from 192.168.1.2, on dev ppp0
Sep  2 10:05:57 routeur kernel: ll header: 45:08:00:28:1b:d8:40:00

(aa.bb.cc.dd = mon ip publique coté serveur)



PS :

PC client XP > 9BOX__________> Internet >_________Routeur linux > Serveur 2000
192.168.1.2 > 192.168.1.1 / ee.ff.gg.hh > aa.bb.cc.dd / 192.168.0.10 > 192.168.0.1

Erreur pptp : erreur 800. il se connecte mais verification du passwd marche pas;


J'aimerais savoir ce qu'il me manque; ce que je dois faire au niveau de mon script de firewall.

Merci beaucoup



--- Stéphane ---

Poste le Saturday 2 September 2006 11:29:53
Répondre     Citer    
RESOLU : tunnel pptp windows + routeur linux ... alerte spoofing
Envoyé par: Steph10200

Bon,

j'ai trouvé smiling smiley tout seul comme un grand.

vpnserver="192.168.0.1"
$IPT -N pptp
$IPT -A pptp -p tcp --destination-port 1723 --dst $vpnserver -j ACCEPT
$IPT -A pptp -p 47 --dst $vpnserver -j ACCEPT
$IPT -I FORWARD -j pptp
$IPT -t nat -N pptp
$IPT -t nat -A pptp -i $WAN_NIC -p tcp --dport 1723 -j DNAT --to $vpnserver:1723
        echo "port 1723 accept et routé"
$IPT -t nat -A pptp -i $WAN_NIC -p 47 -j DNAT --to $vpnserver
        echo "Protocole GRE accept et routé"
$IPT -t nat -A PREROUTING -j pptp


voila.

Si ca peut aider qqun

--- Stéphane ---

Poste le Sunday 3 September 2006 10:50:48
Répondre     Citer    
Re: RESOLU : tunnel pptp windows + routeur linux ... alerte spoofing
Envoyé par: my-thanh LUONG

Bonjour Stephane,
J'ai eu le même problème mais avec un firewall SuSEfirewall2, peux tu me donner un peu plus des explications ?
Avance merci

Poste le Friday 5 January 2007 11:40:17
Répondre     Citer    
Re: RESOLU : tunnel pptp windows + routeur linux ... alerte spoofing
Envoyé par: Steph10200

En, fait, la solution que j'ai marquée, a marchée un certain temps et quand j'ai flushé toutes les regles iptables, ca a pu marché, donc, je pense que s'en est une partie.

EN gros routage de tout le proto GRE sur ton PC serveur VPN et routage en TCP du port 1723

Je n'ai pas plus réfléchit au pourquoi du comment que ca marche plus car depuis le temps, je n'ai plus eu besoin du vpn.

Sinon, bah, dis moi ce que tu veux que j'explique

Poste le Friday 5 January 2007 11:53:22
Répondre     Citer    
Re: RESOLU : tunnel pptp windows + routeur linux ... alerte spoofing
Envoyé par: my-thanhLUONG

Merci pour ta réponse
C'est à dire que j'ai le LAN avec Win2000 comme stations de travai en interne et un firewall Suse 9.2 avec son Susefirewall2 comme firewall propriétaire de SUse (Novell), à partir d'une station en interne du LAN, je n'ai pu connecter à un serveur distant en ouvrant un vpn par pptp, j'ai beau ajouter tous les règles et ouvrir tous les port : RIEN à faire, avec etherreal, j'ai tracé, les paquets GRE sont bien partis mais non retour
Merci en tous les cas et bonne année 2007 à toi

Poste le Friday 5 January 2007 13:46:31
Répondre     Citer    
Re: RESOLU : tunnel pptp windows + routeur linux ... alerte spoofing
Envoyé par: Steph10200

AH oki. bah alors ca fait comme moi.

ethereal à quel niveau ? sur le serveur 2000 qui fait office de serveur pptp ?

Si ca arrive c'est que le GRE est bien routé, c le retour qui n'est pas bon.

euh, mais je suppose que tu l'a déja fait, une connexion pptp en local marche bien ?



--- Stéphane ---

Poste le Friday 5 January 2007 14:07:18
Répondre     Citer    
Re: RESOLU : tunnel pptp windows + routeur linux ... alerte spoofing
Envoyé par: chromosome

As-tu une machine derriere qui fait du NAT ? Ou est-ce ton firewall qui le fait ?

Poste le Friday 5 January 2007 19:33:20
Répondre     Citer    

Veuillez vous authentifier auparavant pour commenter.

 

Ce forum !
tunnel pptp windows + routeur linux ... alerte spoofing
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.

Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons