Re: iptables + openvpn
Kurcze ale fajnie bardzo dziękuję za pomoc a teraz odnośnie twoich sugestii
Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn.
Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy
podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany
wewnętrznym ip mogli podłączyć się terminalami.
Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap,
wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do
okreslonych protokolow i portow.
Bardzo dzięki ;)
Wszelkie inne sugestie są będą bardzo mile widziane.
poniżej konfig mojego firewalla
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0
-j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0
-j ACCEPT
Zakladam, ze eth0 to int_if, a eth1 to ext_if
Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez
kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem.
Wyrzucilbym tu regule 2 w FORWARD.
Tego nie rozumiem ??? "regule 2 w FORWARD" - przepraszam jeśli to
trywialne pytanie.....acha już rozumiem ...znaczy wywaliłbyś drugą
regułę a połączenie przychodzące kontrolowałbyś za pomocą state
ESTABILISHED i RELATED
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j
MASQUERADE
tu bym raczej nie maskowal pakietow do sieci vpn
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d !
siec_vpn -j MASQUERADE
A tak się zastanawiałem do czego praktycznie użyć tego "!" ....teraz już
wiem. To takie oczywiste "!" działa jak inwersja czyli "NOT". Czyli
twoja sugestia wyłącza maskaradę dla sieci VPN (ale się głupi cieszę jak
dziecko :)
#------poczatek sekcji openvpn
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
co mobilni beda szukac na routerze?
Zamysł był taki żebym mógł zdalnie po vpn-ie admnistrować samym
routerem. Ale fakt faktem te regułki zerżnałem z openvpn FAQ :)
Faktycznie bez konieczności podłączania się do samego routera chyba
zasugerowany poniżej FORWARD wystarczyłby. Czy miałbyś jakieś inne
sugestie co do zdalnej administracji bez potrzeby zestawiania VPN-a.
Jestem otwarty na sugestie....uczę się :)
iptables -A FORWARD -i tun+ -j ACCEPT
a teraz ruch w druga strone:
iptables -A FORWARD -o tun+ -j ACCEPT
lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu
FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z
Internetu, jak i z sieci vpn)
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Pozdrawiam
Bohdan
Raz jeszcze bardzo dziękuję za pomoc
Pozdrawiam i miłego dnia
Maciej
Reply to: