Re: как дать доступ к почте и bind только openvpn клиентам ?
Мысли в слух:
Попробовал завернуть пакеты с клиента до сервера на tap,
вся сеть как работала так и работает, а вот к своему серверу с клиента
теперь вообще нельзя приконнектиться Ж)
С одной стороны это хорошо - говорит о том, что пакеты действительно
пошли по tap, а с другой - непонятно что надо прописать на сервере, что
бы пакеты из 192.168.33.0.24 им принимались не только для forward.
На сервере:
*nat
:PREROUTING ACCEPT [3:180]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d real_ip_1 -j ACCEPT (сервер)
-A PREROUTING -d real_ip_2 -j DNAT --to-destination 192.168.33.8 (для
клиента)
-A POSTROUTING -s 192.168.33.8 -j SNAT --to-source real_ip_2
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [390:61807]
:Firewall - [0:0]
-A INPUT -j Firewall
-A FORWARD -j Firewall
в таблице Firewall интерфейсы и ip не указанны (кроме -A Firewall -i lo
-j ACCEPT), просто разрешены основные --dport xxx для udp и tcp
На клиенте:
*mangle
:PREROUTING ACCEPT [17:4969]
:INPUT ACCEPT [9:4649]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:410]
:POSTROUTING ACCEPT [5:381]
-A OUTPUT -p tcp -j MARK --set-xmark 0x5/0xffffffff (как только
появляется это правило - www страница сервера с клиента перестает быть
видна)
-A OUTPUT -p udp -m udp ! --dport 8080 -j MARK --set-xmark 0x5/0xffffffff
#(vpn - udp 8080)
COMMIT
*nat
:PREROUTING ACCEPT [3:180]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d real_ip_2 -j ACCEPT
-A POSTROUTING -s real_ip_2 -j ACCEPT
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [390:61807]
:Firewall_vpn - [0:0]
:Firewall - [0:0]
-A INPUT -j Firewall_vpn
-A FORWARD -j Firewall_vpn
-A OUTPUT -j Firewall_vpn
-A Firewall_vpn -i lo -j ACCEPT
-A Firewall_vpn -m state --state RELATED,ESTABLISHED -j ACCEPT
-A Firewall_vpn -d real_ip_1 -j Firewall
-A Firewall_vpn -s real_ip_1 -j Firewall
-A Firewall_vpn --out-interface tap5 -j Firewall
-A Firewall_vpn --in-interface tap5 -j Firewall
-A Firewall_vpn -j REJECT
-A Firewall -p tcp -m state --state NEW -m tcp --dport xxx -j ACCEPT
-A Firewall -p udp -m state --state NEW -m udp --dport xxx -j ACCEPT
...
-A Firewall -j REJECT
COMMIT
после поднятия wlan и openvpn:
ip rule add from all fwmark 0x5 lookup 100
ip route add default via 192.168.33.5 dev tap5 table 100
(192.168.33.5 слушает сервер vpn)
---------------------------------------------------------------
2 Mikhail A Antonov:
dns я не "прописываю", его можно указать произвольно:
nslookup any_domain dns_server_ip
--
Sincerely,
Nicholas
Reply to: