[Tech] script iptables e client vpn cisco

Marco Ermini markoer@markoer.org
Lun 20 Nov 2006 00:28:19 CET 

On 11/19/06, PINO <plinius@virgilio.it> wrote:
[...]
> >> p.s. con altri firewall hadrware tipo fortinet e sonicwall le
> >>connessioni
> >> superano abbondantemente le 5/5 contemporaneamente.
>
> >Sicuro vero?
> sicurissimo ,inizio a pensare che sia una limitazione delle linux box con
> iptables, ci sto perdendo tempo da circa 2 mesi.

Beh,  per lo meno non deve essere così importante... se ti puoi
permettere di non farlo funzionare per due mesi :-)

A parte le battute...

Premetto che non ti si può dare alcun aiuto senza conoscere:
1) le versioni esatte dei tuoi software sia client che server;
2) come sia stato compilato il tuo kernel;

il mio primo sospetto "a pelle" contina ad andare al client e/o al
concentrator Cisco, nonostante tutto. Ne ho viste di tutti i colori,
l'ultima per esempio l'ho avuta alcune settimane fa: con la versione
del client per Mac Os X Tiger e una versione non aggiornata del
Concentrator, è impossibile, a causa di una incompatibilità dello
stack TCP/IP, creare connessioni SSH (mentre qualsiasi altro
protocollo, incluso Tarantella, funziona che è una meraviglia).
Upgradata la versione del Concentrator tutto è tornato a funzionare.
Anche se succede solo col Mac Os X Tiger, francamente il problema
continua ad essere Cisco. Non so se mi sono spiegato...

Il client VPN Cisco è un *virus* che non è per nulla peggio del
rootkit Sony (solo che non viene da una major discografica, ma da una
azienda che in genere - ma non in questo caso - supporta "protocolli
aperti", quindi i soliti talebani non si scatenano... ;-). Si installa
nel kernel del tuo sistema operativo e stravolge lo stack TCP/IP...
non c'è praticamente alcun motivo di usarlo su Mac e su Linux visto
che ci sono dei software Open Source che lo sostituiscono egregiamente
e sono compatibili con i Concentrator - non so su Windows, mi sa che
gli amici delle Finestre sono più sfortunati in questo caso.

Altra cosa: il tuo kernel deve essere compilato per supportare i
protocolli IP ESP ed AH. Non so se è il caso di Fedora per default.

Consigli:
1) Ci sono dei firewall BSD che non hanno nulla da invidiare a Linux
(anzi) e SoniWall non è certo il peggiore in circolazione
2) aggiornare/cambiare il sistema di VPN, passando a tecnologie più
"aperte" e standard
3) provare a ricompilare il kernel con il supporto per per ESP, AH e
le CryptoAPI, potrebbe essere utile per NATtare i protocolli (anche se
questo potrebbe non spiegare come mai solo due client funzionino, a
meno di non pensare ad arcani motivi tecnici...)
4) provare ad aggiungere cose del tipo

iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT

5) non sappiamo nulla del tuo endpoint. E' noto che possono accadere
problemi se il tuo Concentrator termina su un indirizzo IP non
pubblico - effettui un NAT a tua volta sull'endpoint?


Cordiali saluti
-- 
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini

Maggiori informazioni sulla lista flug-tech