[建議] wdcp的默認(rèn)防火墻規(guī)則會造成PPTP VPN無法使用，附"折中"解決辦法

linwuliao

之前論壇上也有人反應(yīng)安裝了WDCP以后 PPTP就不正常了。首先，VPN連不上了，原因很簡單，WDCP默認(rèn)的防火墻是“白名單模式”，本來防火墻默認(rèn)所有端口都是打開的，但是由于wdcp防火墻默認(rèn)規(guī)則的最后一條是deny all 也就是說拒絕所有，所以造成1723端口無法訪問。
防火墻判斷是按從上到下對規(guī)則進(jìn)行檢索的。

wdcp默認(rèn)的規(guī)則大意就是
允許 80端口
允許 21端口
允許 8080端口
……
拒絕所有
只要沒有在前面“允許”的范圍內(nèi)那么就是“拒絕”，很多人加入一條規(guī)則

1. iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

復(fù)制代碼

結(jié)果就是:
允許 80端口
允許 21端口
允許 8080端口
……
拒絕所有
允許 1723端口

由于“拒絕所有”在“允許 1723端口”的前面，所以仍然會被拒絕。
解決辦法很簡單，修改pptp的sh安裝腳本，把-A改為-I，如下面的代碼:

1. iptables -I INPUT -p tcp --dport 1723 -j ACCEPT

復(fù)制代碼

-I與-A的不同之處在于，-I是在現(xiàn)有規(guī)則的最前面添加新規(guī)則，-A是在后面。。

其實WDCP后臺添加規(guī)則都是用的-I所以在WDCP后臺打開TCP 1723也可以。
執(zhí)行了上訴步驟將1723加入白名單以后，已經(jīng)能夠連接上了PPTP的VPN了，但是，很多人發(fā)現(xiàn)，無法打開網(wǎng)頁，這又是怎么回事呢？
原來是：

1. -A FORWARD -j RH-Firewall-1-INPUT

復(fù)制代碼

搞的鬼，它造成數(shù)據(jù)包無法轉(zhuǎn)發(fā)，這個RH-Firewall-1-INPUT中的規(guī)則就是“白名單模式”。。。我不解釋大家也應(yīng)該懂了吧？既然我們要把服務(wù)器作為網(wǎng)關(guān)使用，就干脆不要它，執(zhí)行下面的命令：

1. iptables -D FORWARD -j RH-Firewall-1-INPUT

復(fù)制代碼

然后再執(zhí)行下面的命令保存設(shè)置:

1. service iptables save

復(fù)制代碼

再重啟防火墻:

1. service iptables restart

復(fù)制代碼

如果還是不行，則重新啟動VPN試試

admin

很好

耗子加油

這樣根本不行

linwuliao

回復(fù) 3# 耗子加油


   ?

愛國者搗蛋

這個親測可行，也是目前為止我測試的唯一一個成了的
感謝lz
頂起來然更多人看到

linwuliao

自己頂頂，貌似有人遇到了同樣的問題

king9t

回復(fù) 6# linwuliao


好像不行。。。

wwdahaiww

不錯，頂起

danceboy

特地回來感謝您�。。。。〕晒�！

diboy2010

執(zhí)行  iptables -D FORWARD -j RH-Firewall-1-INPUT  返回

iptables: No chain/target/match by that name.

kaolawo

我也出了和樓上一樣的錯，怎么辦？

jsonwith

回復(fù) 1# linwuliao


   咋還不行呢~可以做到連接。但是沒法訪問其他站點

hmcyh

牛，按照此方法成功解決VPN訪問問題。

moxiangkelei

還是不行啊，后臺添加了1723規(guī)則，連接還是619錯誤啊。我用盡了網(wǎng)絡(luò)上的各種方法，最后都還是619收場。真造孽。不知道怎么回事啊，以前用amh的時候用自帶的插件一下子就好了�？磥硎敲姘宓膯栴}啊

wshwzy

有個問題我發(fā)現(xiàn)原來可以上這個PPTP 我同時用2臺電腦上VPN 結(jié)果都上不去然后斷開發(fā)現(xiàn) 再也上不去了？WDCP后臺重啟發(fā)現(xiàn)IPTABLE 記錄消失了囧 添加后還是 上不去 能連接撥號PPTP連接注冊計算機(jī)成功了，可是無網(wǎng)絡(luò)請問怎么解決