[GTER] Dúvida com Servidor PPTPD

BadTrip mustardahc at gmail.com
Sun May 24 14:49:24 -03 2009 

Olá Bruno,

1. BCRelay está desabilitado no PPTPD, de acordo com os exemplos do arquivo
MAN.
2. Não faço NAT de clientes PPTP remotos pq recebem um IP da rede local,
definido pelo parâmetro remoteip do arquivo pptpd.conf.

Aqui vão alguns outputs:

ddk-fw01:/# ps aux | grep pp
root     10098  0.0  0.0   1936   616 ?        Ss   May18   0:00
/usr/sbin/pptpd
root     14028  0.4  0.0   1824   604 ?        S    14:36   0:02 pptpd [
189.62.165.247:0108 - 0580]
root     14030  0.0  0.1   3000  1332 ?        S    14:36   0:00
/usr/sbin/pppd local file /etc/ppp/pptpd-options 115200 192.168.0.1:192
.168.X.X

ddk-fw01:/# ifconfig ppp0
ppp0      Link encap:Point-to-Point Protocol
         inet addr:192.168.0.1  P-t-P:192.168.X.X  Mask:255.255.255.255
         UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
         RX packets:2055 errors:0 dropped:0 overruns:0 frame:0
         TX packets:2699 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:3
         RX bytes:208695 (203.8 KiB)  TX bytes:2584189 (2.4 MiB)

ddk-fw01:/# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source
destination
  14   688 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0          tcp dpt:1723
17538 5915K DROP       all  --  *      *       0.0.0.0/0
0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source
destination
144K   11M ACCEPT     all  --  ppp+   eth0    0.0.0.0/0            0.0.0.0/0
   0     0 ACCEPT     all  --  eth0   ppp+    0.0.0.0/0            0.0.0.0/0
   1    40 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP 9 packets, 10164 bytes)
pkts bytes target     prot opt in     out     source
destination
255K  279M ACCEPT     47   --  *      *       0.0.0.0/0            0.0.0.0/0
2506  347K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Obrigado,


2009/5/23 bruno at openline.com.br <bruno at openline.com.br>:
> Olá
>
> Apesar de achar que esta pergunta cabe mais na MASOCH-L
> pergunto:
>
> 1. você está usando o bcrelay no servidor de VPN?
>
> 2. está fazendo "NAT" no servidor PPTP? Porque as conexões
> deveriam estar chegando com o IP real do cliente (ou o IP
> atribuido a conexão PPTP)
>
> []s, !3runo Cabral
>
> --- BadTrip <mustardahc at gmail.com> escreveu:
>> Até a semana passada todos os serviços estavam concentrados no mesmo
>> servidor, e de lá pra cá adquiri mais uma maquina para distribuir os
>> serviços.
>>
>> O Servidor 1 ficou com os serviços: Firewall/NAT, Proxy, IDS e PPTPD.
>> O Servidor 2 ficou com o Samba e DNS.
>>
>> Com todos os servicos na mesma maquina o acesso de usuários remotos
>> aos compartilhamentos samba funcionava perfeitamente, porém depois de
>> mover o samba para o Servidor 2 constatamos que este acesso estava
>> sendo bloqueado no próprio Firewall do Samba. Neste firewall permito
>> requisicoes TCP nas portas 137-139 e 445 e UDP 137-139 apenas para
>> pacotes com IP de origem na rede local.
>>
>> Fiz um TCPDUMP e percebi que as requisiçoes vindas pela VPN chegavam
>> no Samba com o IP válido do Servidor PPTP.
>>
>> Estou usando o modelo PROXY ARP do PPTPD, com proxy arp habilitado e
>> entregando um IP da rede local para o cliente remoto.
>>
>> A dúvida é pq os pacotes vindos de um usuário remote q tem um IP da
>> rede local chegam no samba com IP de origem como o IP válido do
>> servidor de VPN.
>>
>> Para liberar o acesso temporariamente permiti o acesso ao samba para
>> este IP válido mas isto me parece uma falha de segurança.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
BrCaBadT

More information about the gter mailing list