VPN配置成功
1、找到软件我用的软件是pptpd-1.1.4-b3.tar,不知道为什么,这里不让上传gz文件
2、安装
解压后,
./configure
make
make install
3、配置文件
vi /etc/pptpd.conf
[code:1:226a5131e5]
speed 115200
option /etc/ppp/options
debug
#localip 192.168.0.1 这句好象没什么用,我注释了
remoteip 192.168.0.20-30 这句是分配IP的,但不知道为什么,CLIENT的IP不按这个分配 :cry:
enable chap 起用chap机制
[/code:1:226a5131e5]
vi /etc/ppp/options
[code:1:226a5131e5]
lock
debug
# name platinum.com.cn 这个有没有都可以
bsdcomp 0
auth
require-chap 用chap认证方式
proxyarp
# ms-dns 202.106.196.152 这个应该是给CLIENT重新分配DNS的,但好象没用,也没删,就先留着了
[/code:1:226a5131e5]
vi /etc/ppp/chap-secrets 这是定义CLIENT密码的部分
[code:1:226a5131e5]
# Secrets for authentication using PAP
# client server secret IP addresses
"platinum" * "vpntest" 192.168.0.10
[/code:1:226a5131e5]
OK,到这里就配置完成了,运行pptpd启动服务
先关掉防火墙测试,CLIENT:WIN2000
建立VPN拨号,然后指定IP,61.149.xx.xx
注意:在属性编辑里,不要选用加密,否则连不上(好象要下MS的MSCHAP补丁才可以,我没找到)
连接,测试通过
[quote:226a5131e5]
[root@platinum ppp]# netstat -a|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:1723 *:* LISTEN
tcp 0 0 61.149.6.131:1723 202.204.224.130:1164 ESTABLISHED
raw 0 0 61.149.6.131:gre 202.204.224.130:* 1 [/quote:226a5131e5]
内容略有删节
注意:外部IP,202.204.224.130已经连接,VPN端口:1723
此外还有一个[color=red:226a5131e5]GRE[/color:226a5131e5],协议名称非TCP、UDP、ICMP!!!
这是VPN的主要传输协议,所以要配置防火墙,一定要开这个
4、配置防火墙
我的FIREWALL代码如下:
[code:1:226a5131e5]
#! /bin/bash
#初始设置,允许内网转发
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F -t filter
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
# 允许内网所有IP做所有事情
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
# 打开FTP端口:211
/sbin/iptables -A INPUT -p tcp --dport 211 -j ACCEPT
# 打开VPN端口1723,还有GRE!!!
/sbin/iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p gre -j ACCEPT
# WWW:801,SWAT:901
/sbin/iptables -A INPUT -p tcp --dport 801 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 901 -j ACCEPT
# SOCKS5:8039
/sbin/iptables -A INPUT -p tcp --dport 8039 -j ACCEPT
# ICMP(PING)
# 这句话是允许[color=red]除了[/color]公网上所有IP的ICMP协议的echo-request标志
# 也就是允许网内机器PING,但不向外发PONG
/sbin/iptables -A INPUT -p icmp --icmp-type ! echo-request -j ACCEPT
# NAT
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# DENY OTHERS
# 这句很关键,做IP地址的主动连接状态设置,避免了以往防火墙的漏洞
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 其余未登记的端口全部DROP掉!
/sbin/iptables -A INPUT -j DROP
[/code:1:226a5131e5]
当然,从我的FIREWALL还可以看出,我还配置了其他服务
我添加了SAMBA服务,不登陆VPN,是无法访问的
自此,VPN+IPTABLES+SAMBA+FTP+WWW+SOCKS5配置完成
你可以对自己的机器再添加其他服务,想对外开端口,改FIREWALL即可
如图,ADSL连网,PPP0,远程PPP1正在下东西
[myimg]upload/linux-news01.png[/myimg]本文来自:http://www.xiaoyaxiao.com/2777.html
发表您的高见!