SECURITY-CentOS7.5安裝PPTP ×××（開啓firewall防火牆）

CentOS7.5安裝PPTP
注意：部分內容轉自網絡。
1 準備一個CentOS7.5服務器
2 準備×××軟件及FIREWALLD開啓
3 安裝PPP
yum install -y ppp
4 安裝PPTPD
4.1 添加EPEL源：
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
4.2 安裝EPEL源：
rpm -ivh epel-release-latest-7.noarch.rpm
4.3 安裝PPTPD：
yum install -y pptpd
5 編輯/etc/pptpd.conf設置×××內網IP段
最後IP設置改爲：
localip 192.168.0.1
remoteip 192.168.0.214-192.168.0.245

6 編輯/etc/ppp/options.pptpd
6.1 更改DNS項：
ms-dns 8.8.8.8
ms-dns 8.8.4.4
6.2 修改日誌記錄：
nologfd
logfile /var/log/pptpd.log
7 編輯/etc/ppp/chap-secrets設置×××賬號密碼
用戶名 pptpd 密碼 //每個字段之間用tab鍵隔開 表示用任意IP連接×××都可以
樣例：登錄賬號爲root 密碼爲123 這樣寫：
root pptpd 123 *
8 編輯/etc/sysctl.conf修改內核參數支持內核轉發
net.ipv4.ip_forward=1
輸入命令生效：sysctl -p
9 修改防火牆設置：
9.1 firewall-cmd --list-all
9.2 開啓47及1723端口：
firewall-cmd --permanent --zone=public --add-port=47/tcp
firewall-cmd --permanent --zone=public --add-port=1723/tcp

9.3 啓動或重啓防火牆：
systemctl start firewalld.service或firewall-cmd --reload
9.4 firewalld中動態添加端口，則立即生效。
firewall-cmd --add-port=1723/tcp
firewall-cmd --add-port=47/tcp
9.5 允許防火牆僞裝IP：
firewall-cmd --zone=public --add-masquerade
9.6 開啓47及1723端口：
firewall-cmd --permanent --zone=public --add-port=47/tcp
firewall-cmd --permanent --zone=public --add-port=1723/tcp
9.7 允許gre協議：
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p gre -j ACCEPT
9.8 設置規則允許數據包由eth0和ppp+接口中進出
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -o eth0 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o ppp+ -j ACCEPT
9.9 設置轉發規則，從源地址發出的所有包都進行僞裝，改變地址，由eth0發出：
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -I POSTROUTING -o eth0 -j MASQUERADE -s 192.168.0.0/24
10 重啓服務器：
firewall-cmd --reload
systemctl restart pptpd

--------------------------××× 源碼示例------------------------------------------------------------------

cat pptpd.conf
option /etc/ppp/options.pptpd
logwtmp
localip 192.168.9.50
remoteip 192.168.0.200-238,192.168.0.245

[root@localhost ppp]# cat options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 202.106.0.20
ms-dns 8.8.8.8
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
logfile /var/log/pptpd.log

cat /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client server secret IP addresses
root* pptpd 123123
admin pptpd 123123 *