vtun+iptables

Ciao a tutti,
sono riuscito ad alzare correttamente un tunnel tra due slack 9.0 (per 
semplicità ROSSO e BLU), compilando vtun-2.6.tar.gz, e configurando il 
tutto (trovate i file di seguito). Vedo le interfacce tun0 sulle due 
macchine e riesco a pingare il client dal server e viceversa. Sono 
sicuro (tcpdump) che il traffico tra le due interfacce tun0 "viaggia".

Problema: non riesco ad accedere da ROSSO alla rete locale protetta da BLU.

ROSSO e BLU fanno anche da firewall per le rispettive reti locali, 
grazie a iptables.  Le reti locali sono nattate, e nello script del 
firewall ho messo queste regole:

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A INPUT -p tcp -i tun0 -s 172.19.3.0/24 --dport 3389 -j ACCEPT

La terza regola è un tentativo di accedere ad un M$ Terminal Server.

Vi ringrazio fin d'ora...


# -------[Blu (Server)]-------

options {
    type stand;
	port 8079;
	syslog daemon;
	ifconfig /sbin/ifconfig;
	route /sbin/route;
}

tunnel {
	pass XXX;
	type tun;
	proto tcp;
	compress zlib:1;
	encrypt yes;
	stat yes;
	keepalive yes;
	speed 0;
	up {
        ifconfig "%% 172.19.3.1 pointopoint 172.19.3.2 mtu 1450";
        route "add -net 172.19.2.0 netmask 255.255.255.0 gw 172.19.3.2";
	};
}



# -------[Rosso (Client)]-------

options {
    port 8079;
    syslog 7;
	ifconfig /sbin/ifconfig;
	route /sbin/route;
}
tunnel {
	pass XXX;
	proto tcp;
	compress zlib:1;
	encrypt yes;
	keepalive yes;
	up {
        ifconfig "%% 172.19.3.2 pointopoint 172.19.3.1 mtu 1450";
        route "add -net 172.19.1.0 netmask 255.255.255.0 gw 172.19.3.1";
    };
}

--
Paolo Radice


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List