[linux-l] AW: [linux-l] MS-RAS Server über iptables

[Klaus Gerhardt]

Hallo Ivo,

>Mir ist zumidest schon soweit klar das ich den Port 1723 mittels PREROUTING
zum RAS-Server forwarden muß,
>mein Problem ist ist eher was ich mit dem Protokoll 47 (gre) machen muß,
kann mir da einer Tipps geben?
In der PREROUTING Chain findet kein forwarding statt, sondern NAT. Fürs
forwarding
musst du die FORWARD Chain der Tabelle Filter verwenden.

Das habe ich dazu in der SuSE Mailingliste gefunden:
>>>>>>>>>>>>> schnipp
> ich habe suse 8.2 prof. als dsl router eingerichtet,
> der leitet eingehende anfragen aus dem internet für PPTP an einen win2000
> server weiter,
> das funktioniert auch.
> Nun möchte ich aber aus dem lokalen netz PPTP verbindungen zu
> anderen partnern im internet aufbauen.
> wie muß ich iptables dafür konfigurieren?

Die PPTP-Clients müssen TCP-Verbindungen auf Port 1723 zu den
PPTP-Servern aufbauen können, d.h. diese Verbindungen müssen aus dem
lokalen Netz nach draußen erlaubt werden. Außerdem müssen IP-Pakete
mit dem Protokoll GRE (Protokollnummer 47, Option -p gre bei iptables)
zwischen PPTP-Clients und -Servern in beiden Richtungen zugelassen
werden.
<<<<<<<<<<<<<<<<<< schnapp

Ob du auch noch NAT anwenden musst, hängt von deiner weiteren Konfiguration
des Routers, Netzes oder was auch immer ab. Die o.g. Konfiguration aus der
Mailinglist würde auf jeden Fall 6 Filterregeln ergeben, da du für eine
Verbindung 2 Regeln brauchst. Eine für den Verbindungsaufbau Client ->
Server
und eine für die Antwort Server -> Client.

s. auch http://www.belug.info/~k-gerhardt/firewall/firewall_router.html

Tschüss
Klaus