Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-12-11 14:35:39
ziemson - Nowy użytkownik
- ziemson
- Nowy użytkownik
- Zarejestrowany: 2011-12-11
OpenVPN - ograniczanie ruchu
Witam, mam działający serwer OpenVPN. Utworzyłem kilka podsieci:
Kod:
client-to-client push "route 10.8.1.0 255.255.255.0" ;administarorzy push "route 10.8.101.0 255.255.255.0" ;serwis push "route 10.6.0.0 255.255.255.0" ;klienci push "route 10.9.0.0 255.255.255.0" ;podsieć klientów
Chciałbym teraz nieco ograniczyć możliwości poszczególnych klientów. Chciałbym aby administratorzy mieli dostęp do wszystkich klientów. Natomiast klienci z podsieci 10.6.0.0 nie powinni mieć dostępu miedzy sobą ani do innych podsieci. Przez dostęp rozumiem np. zdalny pulpit, VNC, ICMP itp.
moja konfiguracja iptables:
Kod:
#!/bin/sh iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED # ICMP iptables -A INPUT -i eth0 -p icmp -j ACCEPT # OPENVPN iptables -A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT # SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # FTP iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 12000:12003 -j ACCEPT
Próbowałem z regułami typu:
Kod:
iptables -A FORWARD -i tun0 -s 10.6.0.0/24 -d 10.9.0.0/24 -j DROP iptables -A FORWARD -i tun0 -s 10.6.0.0/24 -d 10.6.0.0/24 -j DROP
ale to chyba nie tędy droga.
Z góry dzięki za pomoc.
Offline
#2 2011-12-11 22:48:27
bobycob - 
Członek z Ramienia
- bobycob
- Członek z Ramienia
- Skąd: Wrocław
- Zarejestrowany: 2007-08-15
Re: OpenVPN - ograniczanie ruchu
Troszkę za mało akceptujesz w łańcuchu FORWARD.
Skoro domyślna polityka to DROP, musisz wskazać co ma przechodzić
Przykładowo dla adminów
iptables -A FORWARD -s 10.8.1.0/24 -j ACCEPT
iptables -A FORWARD -d 10.8.1.0/24 -j ACCEPT
Offline
#3 2011-12-11 23:06:56
ziemson - Nowy użytkownik
- ziemson
- Nowy użytkownik
- Zarejestrowany: 2011-12-11
Re: OpenVPN - ograniczanie ruchu
Mój problem jest w tym, że wszystko przechodzi. A ja chciałbym ograniczyć dostęp.
aktualne iptables:
Kod:
#!/bin/sh iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # ICMP iptables -A INPUT -i eth0 -p icmp -j ACCEPT # OPENVPN iptables -A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT # SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # FTP iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 12000:12003 -j ACCEPT # Administratorzy iptables -A FORWARD -s 10.8.1.0/24 -j ACCEPT iptables -A FORWARD -d 10.8.1.0/24 -j ACCEPT
Offline
#4 2011-12-21 14:33:32
ziemson - Nowy użytkownik
- ziemson
- Nowy użytkownik
- Zarejestrowany: 2011-12-11
Re: OpenVPN - ograniczanie ruchu
Problem rozwiązany!
Musi być wyłączna funkcja "client-to-client" w pliku konfiguracyjnym serwera VPN. Dodatkowo, to czego nie byłem świadomy to brak "net.ipv4.ip_forward = 1". Dopiero wtedy zaczęły działać reguły FORWARD w iptables.
bobycob, dzięki za podpowiedzi!
pozdrawiam
ziemson
Offline