V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
mysoko
V2EX  ›  问与答

用 pptp 作为 vpn server,启动防火墙需要打开哪些端口才能上网?

  •  
  •   mysoko · 2015-01-14 00:18:48 +08:00 · 28029 次点击
    这是一个创建于 3631 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前是直接链接不了,后来打开1723可以链接,但是不能上网,还需要打开哪些端口?
    现在防火墙内容:
    root@localhost:~# sudo ufw status
    Status: active

    To Action From
    -- ------ ----
    22/tcp ALLOW Anywhere
    80 ALLOW Anywhere
    1723 ALLOW Anywhere
    47 ALLOW Anywhere
    22/tcp (v6) ALLOW Anywhere (v6)
    80 (v6) ALLOW Anywhere (v6)
    1723 (v6) ALLOW Anywhere (v6)
    47 (v6) ALLOW Anywhere (v6)
    7 条回复    2015-01-14 09:56:35 +08:00
    c26
        1
    c26  
       2015-01-14 00:22:27 +08:00
    配置iptables做流量转发
    kxmp
        2
    kxmp  
       2015-01-14 00:28:20 +08:00
    tcp 1723
    gre 协议47,这个没端口...
    evilyau
        3
    evilyau  
       2015-01-14 00:41:40 +08:00   ❤️ 1
    试试 InstaVPN
    zjgood
        4
    zjgood  
       2015-01-14 00:54:46 +08:00 via Android
    @evilyau 好像很棒
    besto
        5
    besto  
       2015-01-14 01:02:44 +08:00   ❤️ 1
    端口没问题。
    用ufw需要改两个地方(发行版不一样文件位置不一定一样):
    1. /etc/ufw/before.rules 中需要设置nat的转发:
    *nat
    :POSTROUTING ACCEPT [0:0]
    # Allow forward traffic to eth0
    -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
    # Process the NAT table rules
    COMMIT

    IP(这里是vpn 的ip)和网卡都要换成你的。

    2. /etc/default/ufw 中需要把转发策略设置为允许:
    DEFAULT_FORWARD_POLICY="ACCEPT"

    然后需要改/etc/sysctl.conf ,把net.ipv4.ip_forward=1 打开,执行sysctl -p


    然后是建议:
    1,不要裸写端口,用定义好的app:

    To Action From
    -- ------ ----
    Shadowsocks ALLOW Anywhere
    WWW Full ALLOW Anywhere
    PPTP ALLOW Anywhere
    SSH-XXX ALLOW Anywhere
    Shadowsocks (v6) ALLOW Anywhere (v6)
    WWW Full (v6) ALLOW Anywhere (v6)
    PPTP (v6) ALLOW Anywhere (v6)
    SSH-Besto (v6) ALLOW Anywhere (v6)

    2,ssh建议换到非22端口。
    kelvinblood
        6
    kelvinblood  
       2015-01-14 03:14:31 +08:00 via iPad
    二楼五楼正解

    一个是gre协议,一个是转发,一个是sysctl
    zts1993
        7
    zts1993  
       2015-01-14 09:56:35 +08:00
    一个是进入的1723 端口 , GRE穿透。。

    还有如果是用了想WDCP这样的面板的话,外出连接也是有限制的要取消。(白名单机制。)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3470 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:11 · PVG 19:11 · LAX 03:11 · JFK 06:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.