Re: как дать доступ к почте и bind только openvpn клиентам ?

To: debian-russian@lists.debian.org
Subject: Re: как дать доступ к почте и bind только openvpn клиентам ?
From: Nicholas <spam@networkgate.us>
Date: Fri, 13 May 2011 14:28:47 +0000
Message-id: <[🔎] iqjtbf$epb$1@dough.gmane.org>
In-reply-to: <[🔎] 4DCCBFB5.6070807@solarnet.ru>
References: <[🔎] iqia70$ihk$1@dough.gmane.org> <[🔎] 4DCCB588.7010407@solarnet.ru> <[🔎] iqiefi$3sq$1@dough.gmane.org> <[🔎] 4DCCBFB5.6070807@solarnet.ru>

Мысли в слух:

Попробовал завернуть пакеты с клиента до сервера на tap,

вся сеть как работала так и работает, а вот к своему серверу с клиентатеперь вообще нельзя приконнектиться Ж)

С одной стороны это хорошо - говорит о том, что пакеты действительнопошли по tap, а с другой - непонятно что надо прописать на сервере, чтобы пакеты из 192.168.33.0.24 им принимались не только для forward.


На сервере:

*nat


:PREROUTING ACCEPT [3:180]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]



-A PREROUTING -d real_ip_1 -j ACCEPT (сервер)

-A PREROUTING -d real_ip_2 -j DNAT --to-destination 192.168.33.8 (дляклиента)

-A POSTROUTING -s 192.168.33.8 -j SNAT --to-source real_ip_2
COMMIT

*filter


:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [390:61807]
:Firewall - [0:0]

-A INPUT -j Firewall
-A FORWARD -j Firewall

в таблице Firewall интерфейсы и ip не указанны (кроме -A Firewall -i lo-j ACCEPT), просто разрешены основные --dport xxx для udp и tcp


На клиенте:

*mangle
:PREROUTING ACCEPT [17:4969]
:INPUT ACCEPT [9:4649]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:410]
:POSTROUTING ACCEPT [5:381]

-A OUTPUT -p tcp -j MARK --set-xmark 0x5/0xffffffff (как толькопоявляется это правило - www страница сервера с клиента перестает бытьвидна)

-A OUTPUT  -p udp -m udp ! --dport 8080 -j MARK --set-xmark  0x5/0xffffffff

#(vpn - udp 8080)

COMMIT

*nat
:PREROUTING ACCEPT [3:180]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A PREROUTING -d real_ip_2 -j ACCEPT
-A POSTROUTING -s real_ip_2  -j ACCEPT


COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [390:61807]
:Firewall_vpn - [0:0]
:Firewall - [0:0]


-A INPUT -j Firewall_vpn
-A FORWARD -j Firewall_vpn
-A OUTPUT -j Firewall_vpn

-A Firewall_vpn -i lo -j ACCEPT
-A Firewall_vpn -m state --state RELATED,ESTABLISHED -j ACCEPT
-A Firewall_vpn -d real_ip_1 -j Firewall
-A Firewall_vpn -s real_ip_1 -j Firewall
-A Firewall_vpn --out-interface tap5  -j Firewall
-A Firewall_vpn --in-interface tap5  -j Firewall
-A Firewall_vpn -j REJECT

-A Firewall -p tcp -m state --state NEW -m tcp --dport xxx -j ACCEPT
-A Firewall -p udp -m state --state NEW -m udp --dport xxx -j ACCEPT
...
-A Firewall -j REJECT
COMMIT

после поднятия wlan и openvpn:

ip rule add from all fwmark 0x5 lookup 100
ip route add default via 192.168.33.5 dev tap5 table 100
(192.168.33.5 слушает сервер vpn)

---------------------------------------------------------------

2 Mikhail A Antonov:
dns я не "прописываю", его можно указать произвольно:
nslookup any_domain dns_server_ip


--
Sincerely,
	Nicholas

Reply to:

References:
- как дать доступ к почте и bind только openvpn клиентам ?
  - From: Nicholas <spam@networkgate.us>
- Re: как дать доступ к почте и bind только openvpn клиентам ?
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: как дать доступ к почте и bind только openvpn клиентам ?
  - From: Nicholas <spam@networkgate.us>
- Re: как дать доступ к почте и bind только openvpn клиентам ?
  - From: Mikhail A Antonov <bart@solarnet.ru>

Prev by Date: Re: как дать доступ к почте и bind только openvpn клиентам ?
Next by Date: Re: как дать доступ к почте и bind только openvpn клиентам ?
Previous by thread: Re: как дать доступ к почте и bind только openvpn клиентам ?
Next by thread: Re: как дать доступ к почте и bind только openvpn клиентам ?
Index(es):
- Date
- Thread