https://opennet.ru/openforum/vsluhforumID10/3406.html Доброго времени суток всем!<br>Очень нужна помощь в решении проблемы настройки pptp соединения из локалки перед которой еще и DMZ стоит.<br>Суть в следующем: прислали тут нам требования для организации передачи данных в налоговую:<br>"<br>Требоания к организации сети:<br>- из лвс пользователя дб разрешен двунаправленный доступ к ИП 213,182,169,11 пло протоколу tct на порт 1723 (это pptp - как я выяснил) и по протоколу gre (ip47) для поддержки протокола pptp<br><br>-при использовании средств NAT должна быть обеспечена правильная обработка соединенй по протоколу GRE (IP47). Примеры возможных средств NAT: natd, iptables, ms isa.<br>"<br><br>а у меня ipchains! :о(<br><br># uname -a<br>Linux server3 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown<br><br>ipchains<br>-A forward -s 192.168.3.6 -d 200.200.200.200 -p gre -j MASQ<br>-A forward -s 192.168.3.6 -d 200.200.200.200 1723:1723 -p tcp -j MASQ<br><br>#tail -f /var/log/messages - ничего на отпинывание не показывает<br><br>На кошке Cisco pix506e открываю абсолютно все, но соединение pptp на получаетс https://opennet.ru/openforum/vsluhforumID10/3406.html#3 Tue, 27 Nov 2007 09:09:27 GMT Доброго времени суток.<br>Я не бух. и в этом ничего не шарю.<br>Но вот настройки для PPTP через маршрутизатор *nix.<br>На машине с внешним IP, надо NAT организовать для доступа к PPTP или обратного доступа к машине по PPTP.<br>PPTP (TCP1723) протокол доступа (иногда нужен для VPN)<br>GRE (IP47) нужен для протокола PPTP<br><br><br>Прямой map портов через SUSE Server.<br><br>#!/bin/sh<br>INTIF=eth0 #вобщем внешний интерфейс (ppp0)<br>EXTIF=eth1 #внешний внутренний интерфейс<br>ALTERSERVH="&lt;IP машины к которой и с которой разрешен доступ по PPTP и GRE&gt;"<br>IPTABLES=iptables<br>PPTPPORT=1723 #порт PPTP<br>GREPROT=47 #порт GRE для работы с PPTP<br><br>#предварительно все может быть DROP<br><br>$IPTABLES -A INPUT -p tcp \--dport $PPTPPORT -j ACCEPT<br>$IPTABLES -A INPUT -p $GREPROT -j ACCEPT<br><br>echo " Allow Answer to $INTIF:$PPTPPORT(PPTP)"<br>$IPTABLES -A FORWARD -i $INTIF -p tcp \--dport $PPTPPORT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>$IPTABLES -A FORWARD -p tcp --dport $PPTPPORT -o $INTIF -j ACCEPT<br><br>echo " Allow Answer to protocol-$GREPR https://opennet.ru/openforum/vsluhforumID10/3406.html#2 Thu, 16 Aug 2007 13:05:03 GMT &gt;Понимаю, что подобные случаи рассматривались. <br>&gt;Поможет ли pptpproxy мне, если я его установлю на Linux? Нужно ли <br>&gt;еще что-то ставить для этой прокси? <br><br>С месяц назад сам с этой проблемой бился. :)))) Сделано было правда под FreeBSD, но принципы , я думаю, будут теми же.<br>Для данного типа соединений тебе потребуется еще один реальный ip. Если нет - туши свет. Если есть, то продолжаем. Устраиваешь полный натинг (ip в ip) с ip адреса локальной машины, на которой у тебя будет установлен клиент налоговой программы, на твой новый реальный ip. Делать это все естественно надо на шлюзе через который ты в и-нет выходить будешь. Нат, также приворачивается к внешнему интерфейсу. Потом как справишься с натом., прибивай на внешний интерфейс твоего шлюза второй ip адрес алиасом. Все. Далее настраивай правила на файерволе, что к тебе по второму реальному ip никто не пролез. А попутно подумай вот еще над чем. Внутри твоей локалки будет работать программа из налоговой, и исходных кодов, как тебе ясно, тебе по ней никто н https://opennet.ru/openforum/vsluhforumID10/3406.html#1 Thu, 09 Aug 2007 14:02:37 GMT Понимаю, что подобные случаи рассматривались.<br>Поможет ли pptpproxy мне, если я его установлю на Linux? Нужно ли еще что-то ставить для этой прокси?<br><br>