Re: iptables + openvpn

To: Bohdan Sydor <bohdan@harazd.net>
Cc: debian-user-polish@lists.debian.org
Subject: Re: iptables + openvpn
From: Maciej Kóska <grv@o2.pl>
Date: Mon, 22 Jan 2007 16:16:02 +0100
Message-id: <[🔎] 45B4D532.9070506@o2.pl>
In-reply-to: <[🔎] 45B214F8.9010400@harazd.net>
References: <[🔎] 45B146EC.607@o2.pl> <[🔎] 45B214F8.9010400@harazd.net>

Kurcze ale fajnie bardzo dziękuję za pomoc a teraz odnośnie twoich sugestii

Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn.
Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy
podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany
wewnętrznym ip mogli podłączyć się terminalami.


Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap,
wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do
okreslonych protokolow i portow.


Bardzo dzięki ;)

Wszelkie inne sugestie są będą bardzo mile widziane.

poniżej konfig mojego firewalla

iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0
-j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0
-j ACCEPT


Zakladam, ze eth0 to int_if, a eth1 to ext_if

Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez
kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem.
Wyrzucilbym tu regule 2 w FORWARD.

Tego nie rozumiem ??? "regule 2 w FORWARD" - przepraszam jeśli totrywialne pytanie.....acha już rozumiem ...znaczy wywaliłbyś drugąregułę a połączenie przychodzące kontrolowałbyś za pomocą stateESTABILISHED i RELATED

iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j
MASQUERADE


tu bym raczej nie maskowal pakietow do sieci vpn
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d !
siec_vpn -j MASQUERADE

A tak się zastanawiałem do czego praktycznie użyć tego "!" ....teraz jużwiem. To takie oczywiste "!" działa jak inwersja czyli "NOT". Czylitwoja sugestia wyłącza maskaradę dla sieci VPN (ale się głupi cieszę jakdziecko :)

#------poczatek sekcji openvpn

iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT

co mobilni beda szukac na routerze?

Zamysł był taki żebym mógł zdalnie po vpn-ie admnistrować samymrouterem. Ale fakt faktem te regułki zerżnałem z openvpn FAQ :)Faktycznie bez konieczności podłączania się do samego routera chybazasugerowany poniżej FORWARD wystarczyłby. Czy miałbyś jakieś innesugestie co do zdalnej administracji bez potrzeby zestawiania VPN-a.Jestem otwarty na sugestie....uczę się :)

iptables -A FORWARD -i tun+ -j ACCEPT

a teraz ruch w druga strone:
iptables -A FORWARD -o tun+ -j ACCEPT
lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu
FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z
Internetu, jak i z sieci vpn)
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Pozdrawiam

Bohdan


Raz jeszcze bardzo dziękuję za pomoc
Pozdrawiam i miłego dnia
Maciej

Reply to:

References:
- iptables + openvpn
  - From: Maciej Kóska <grv@o2.pl>
- Re: iptables + openvpn
  - From: Bohdan Sydor <bohdan@harazd.net>

Prev by Date: Re: iptables + openvpn
Next by Date: Re: Przeniesienie/zmiana nazwy plików passwd i shadow
Previous by thread: Re: iptables + openvpn
Next by thread: Bezplatne zamieszczanie ogloszen motoryzacyjnych !!!
Index(es):
- Date
- Thread