Re: iptables + openvpn
Maciej Kóska wrote:
> Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn.
> Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy
> podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany
> wewnętrznym ip mogli podłączyć się terminalami.
Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap,
wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do
okreslonych protokolow i portow.
> Wszelkie inne sugestie są będą bardzo mile widziane.
> poniżej konfig mojego firewalla
>
> iptables -F
> iptables -F -t nat
> iptables -X -t nat
> iptables -F -t filter
> iptables -X -t filter
>
> iptables -P FORWARD DROP
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
>
> echo "1" > /proc/sys/net/ipv4/ip_forward
> iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0
> -j ACCEPT
> iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0
> -j ACCEPT
Zakladam, ze eth0 to int_if, a eth1 to ext_if
Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez
kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem.
Wyrzucilbym tu regule 2 w FORWARD.
> iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j
> MASQUERADE
tu bym raczej nie maskowal pakietow do sieci vpn
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d !
siec_vpn -j MASQUERADE
> #------poczatek sekcji openvpn
>
> iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
> iptables -A INPUT -i tun+ -j ACCEPT
co mobilni beda szukac na routerze?
> iptables -A FORWARD -i tun+ -j ACCEPT
a teraz ruch w druga strone:
iptables -A FORWARD -o tun+ -j ACCEPT
lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu
FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z
Internetu, jak i z sieci vpn)
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Pozdrawiam
Bohdan
Reply to: