CentOS 6.7 x64下使用pptpd搭建VPN
时间:2015-12-20 15:14 来源:51cto.com 作者:IT
原理:PPTP 使用 PPP 协议对用户数据进行封装,然后将 PPP 数据帧封装在 IP 数据包里,pptpd 更多是负责客户端到服务器的连接,ppp协议负责用户数据包的封装和转发,当客户端连接到服务器时pptpd服务就是创建一个虚拟网卡ppp0进行用户数据包的封装,和转发到物理网卡,进入以太网
modprobe ppp-compress-18 &&
echo
MPPE is Success
yum
install
ppp -y
rpm -ivh http:
//poptop
.sourceforge.net
/yum/beta/packages/pptpd-1
.4.0-1.el6.x86_64.rpm
vi
/etc/ppp/options
.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
vi
/etc/ppp/chap-secrets
username1 pptpd passwd1 *
#一行一个用户
username2 pptpd passwd2 *
#分别是 用户名 服务 密码 来源ip(这个可以指定网段或者唯一IP)如果不符合全都拒绝掉,*号知道正则表达式的都知道是什么
vi
/etc/pptpd
.conf
option
/etc/ppp/options
.pptpd
logwtmp
localip 172.16.36.254
remoteip 172.16.36.1-250
vi
/etc/sysctl
.conf
net.ipv4.ip_forward = 1
#找到这个选项并且改成1
sysctl -p
chkconfig pptpd on
#加入开机自动启动
service pptpd start
#启动pptpd服务
[root@
local
~]
# cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
[root@
local
~]
# iptables -P INPUT ACCEPT #设置全部为允许,以免等下清除防火墙规则时,ssh断开
[root@
local
~]
# iptables -F
[root@
local
~]
# iptables -X
[root@
local
~]
# iptables -Z #清除防火墙规则结束
[root@
local
~]
# iptables -A INPUT -i lo -p all -j ACCEPT
[root@
local
~]
# iptables -A INPUT -p gre -j ACCEPT
[root@
local
~]
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@
local
~]
# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
[root@
local
~]
# iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
[root@
local
~]
# iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
[root@
local
~]
# iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
[root@
local
~]
# iptables -A FORWARD -p tcp --syn -s 172.16.36.0/24 -j TCPMSS --set-mss 1356
[root@
local
~]
# iptables -t nat -A POSTROUTING -s 172.16.36.0/24 -o eth0 -j MASQUERADE
[root@
local
~]
# iptables-save > /etc/sysconfig/iptables
[root@
local
~]
# service iptables restart
# Generated by iptables-save v1.4.7 on Mon Sep 21 10:53:00 2015
*filter
:INPUT ACCEPT [2:156]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20:1845]
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 172.16.36.0/24 -j ACCEPT
-A FORWARD -d 172.16.36.0/24 -j ACCEPT
-A FORWARD -p tcp --syn -s 172.16.36.0/24 -j TCPMSS --set-mss 1356
-A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon Sep 21 10:53:00 2015
# Generated by iptables-save v1.4.7 on Mon Sep 21 10:53:00 2015
*nat
:PREROUTING ACCEPT [12:1068]
:POSTROUTING ACCEPT [25:1844]
:OUTPUT ACCEPT [25:1844]
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -s 172.16.36.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Mon Sep 21 10:53:00 2015
# Generated by iptables-save v1.4.7 on Mon Sep 21 10:53:00 2015
*mangle
:PREROUTING ACCEPT [283:25473]
:INPUT ACCEPT [281:25015]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [258:37097]
:POSTROUTING ACCEPT [258:37097]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Mon Sep 21 10:53:00 2015
route -p add 172.16.0.0 mask 255.255.0.0 192.168.10.254
(责任编辑:IT)
原理:PPTP 使用 PPP 协议对用户数据进行封装,然后将 PPP 数据帧封装在 IP 数据包里,pptpd 更多是负责客户端到服务器的连接,ppp协议负责用户数据包的封装和转发,当客户端连接到服务器时pptpd服务就是创建一个虚拟网卡ppp0进行用户数据包的封装,和转发到物理网卡,进入以太网
|