给iptables打pptp-conntrack-nat 补丁

这里好象没有最新的关于经过iptables 1.3.4 nat 后 pptp client connect *** server  和2.6.14.2内核的文章.

pptp 采用GRE封装,GRE header里不象tcp,udp里有端口号,如果你编译内核时在netfilter没有选上pptp,那么在iptables是不认的,protocol field "unkown".编译好后,记得modprobe ip_nat_pptp,默认不加载,我不知道怎么默认加载,呵呵.
再添加入下:
iptables -t nat -I PREROUTING -p gre -d natserveripaddress -j DNAT --to pptp-client-ip-addres
以上的意思是将所有来自*** server 的GRE包转发到pptp client.

iptables 1.3.4 和2.6.14.2内核已经支持pptp 了,不必再patch-o-magic.
 
多个PPTP ×××客户机通过LINUX网关连接×××服务器
PPTP方式的×××使用了GRE协议,这个协议跟TCP/UDP是同一级的协议。因为GRE协议没有端口的概念,LINUX不能像TCP/UDP那样IP伪装。所以,LINUX网关后面的pptp ***客户机连接***时总会遇见这种那种的问题。
所以,当只有单个客户机通过linux网关连接×××的时候,最简单的办法是用iptables把所有GRE协议的包转发给客户机。比如客户机的ip是192.168.0.2,iptables命令是
iptables -t nat -I PREROUTING -p gre -j DNAT --to-destination 192.168.0.2
上面的命令感觉很奇怪,当这个规则输入了,即使立刻删除,也依旧生效,一直过了好久才断掉。
当然,如果客户机连接的*** ip地址互不相同,还可以根据源ip地址DNAT。但是,当多台机器要连接相同的pptp ***服务器时,问题就出现了,简单的DNAT规则并不能生效,因为他们都是GRE协议。唯一能分辨的就只有GRE包里面的Class ID。这个ID在默认的linux防火墙上并没有得到支持。解决方法有两个
1,使用2.0版本以上的iptables,里面内置了ip_nat_gre等模块用于支持gre包的ip伪装。这个方案比较复杂,工程浩大,还要给内核打补丁。以后更新内核的时候也更加麻烦。
2,使用pptp proxy([url]http://www.mgix.com/pptpproxy/[/url])。这是一个用户空间下的gre包转发工具。只要下载源码,编译,得到了pptpproxy。比如你的linux网关内网ip是192.168.0.254,***服务器是202.202.202.202,只要运行
pptpproxy -p 202.202.202.202
就可以了
这时,***客户机只要把192.168.0.254作为***服务器ip地址就可以了。
当然,让pptp监听在127.0.0.1,然后配合一些iptables转发规则,甚至可以做成一个透明pptpproxy代理。
pptpproxy还支持多*** server代理。
如果你运行的是*BSD或者MAC,也许frickin([url]http://frickin.sourceforge.net/[/url])更符合你的需要