https://opennet.dev/openforum/vsluhforumID10/5413.html Исходные данные: есть openvpn шлюз на linux с интрефейсами:<br>eth0 - смотрит в локалку 192.168.1.0/24 <br>tun0 - смотрит в vpn сеть - 10.0.0.0/30<br>Задача:<br>Нужно, чтобы отбрасывались все пакеты, кроме тех, которые:<br>а) приходят по порту 22 с ip 192.168.1.100;<br>б) приходят по порту 1194 с ip 192.168.1.1;<br>в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на адрес 192.168.1.100;<br><br>Правильно ли прописаны следующие правила:<br>а) iptables -A INPUT ! -s 192.168.1.100 -p tcp --dport 22 -j DROP<br>б) iptables -A INPUT ! -s 192.168.1.1 -p tcp --dport 1194 -j DROP<br>в) iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389<br><br> <br><br><br><br><br> https://opennet.dev/openforum/vsluhforumID10/5413.html#7 Fri, 18 Aug 2017 08:06:32 GMT многие недоадмины любяь пробрасывать 3389, потом удивляются, что их поломали<br><br> https://opennet.dev/openforum/vsluhforumID10/5413.html#6 Tue, 07 Feb 2017 15:59:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt; iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT <br>&gt;&gt; iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT <br>&gt;&gt; iptables -A INPUT -j DROP или iptables -P INPUT DROP <br>&gt;&gt; Также не забываем про FORWARD т.к. в постановке задачи не говорится про <br>&gt;&gt; то, что делать с транзитными пакетами.<br>&gt;&gt; Не забываем про -m state и разрешение всего остального, что еще <br>&gt;&gt; может быть необходимым (например DNS-ответы).<br>&gt; Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24 <br>&gt; А как быть с пробросом 3389?<br>&gt; Такое правило будет работать: <br><br>Правило будет работать так, как оно написано. Достигнете ли вы того, чего хотите - не известно, т.к. правила "поштучно" не работают, а работает вся кофигурация в целом.<br><br> https://opennet.dev/openforum/vsluhforumID10/5413.html#5 Tue, 07 Feb 2017 14:19:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Также не забываем про FORWARD т.к. в постановке задачи не говорится про <br>&gt;&gt; то, что делать с транзитными пакетами.<br>&gt;&gt; Не забываем про -m state и разрешение всего остального, что еще <br>&gt;&gt; может быть необходимым (например DNS-ответы).<br>&gt; Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24 <br>&gt; А как быть с пробросом 3389?<br>&gt; Такое правило будет работать: <br>&gt; iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j <br>&gt; DNAT \ --to-destination 192.168.1.100:3389 <br>&gt; ?<br><br>эти пакеты пойдут через FORWARD , разрешайте прохождение этих пакетов там<br> https://opennet.dev/openforum/vsluhforumID10/5413.html#4 Tue, 07 Feb 2017 13:11:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt; б) приходят по порту 1194 с ip 192.168.1.1; <br>&gt;&gt; в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на <br>&gt;&gt; адрес 192.168.1.100; <br>&gt; iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT <br>&gt; iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT <br>&gt; iptables -A INPUT -j DROP или iptables -P INPUT DROP <br>&gt; Также не забываем про FORWARD т.к. в постановке задачи не говорится про <br>&gt; то, что делать с транзитными пакетами.<br>&gt; Не забываем про -m state и разрешение всего остального, что еще <br>&gt; может быть необходимым (например DNS-ответы).<br><br>Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24<br>А как быть с пробросом 3389?<br>Такое правило будет работать:<br>iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389<br>?<br> https://opennet.dev/openforum/vsluhforumID10/5413.html#3 Tue, 07 Feb 2017 13:07:37 GMT &gt; Исходные данные: есть openvpn шлюз на linux с интрефейсами: <br>&gt; eth0 - смотрит в локалку 192.168.1.0/24 <br>&gt; tun0 - смотрит в vpn сеть - 10.0.0.0/30 <br>&gt; Задача: <br>&gt; Нужно, чтобы отбрасывались все пакеты, кроме тех, которые: <br>&gt; а) приходят по порту 22 с ip 192.168.1.100; <br>&gt; б) приходят по порту 1194 с ip 192.168.1.1; <br>&gt; в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на <br>&gt; адрес 192.168.1.100; <br><br>iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT<br>iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT<br><br>iptables -A INPUT -j DROP или iptables -P INPUT DROP<br><br>Также не забываем про FORWARD т.к. в постановке задачи не говорится про то, что делать с транзитными пакетами.<br>Не забываем про -m state и разрешение всего остального, что еще может быть необходимым (например DNS-ответы).<br> https://opennet.dev/openforum/vsluhforumID10/5413.html#2 Tue, 07 Feb 2017 12:29:42 GMT &gt; Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг. <br><br>Что посоветуете? Нужно всего лишь по закрывать все лишнее + настроить nat на одном порту(3389) для сети openvpn:<br>192.168.1.1(шлюз)-&gt;192.168.1.200(openvpn srv) &lt;- открыт только порт 1194 для 192.168.1.1<br>192.168.1.100(win)-&gt;192.168.1.200(openvpn srv) &lt;- открыт только порт 22 для 192.168.1.100<br>10.0.0.6(openvpn client)-&gt;10.0.0.1(openvpn server)-&gt;192.168.1.100(win rdp) &lt;- проброс порта 3389 на 192.168.1.100 все остальное закрыто<br> <br><br><br><br> <br> <br><br><br> https://opennet.dev/openforum/vsluhforumID10/5413.html#1 Tue, 07 Feb 2017 09:55:49 GMT Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг.<br>