forum.opennet.ru - "Iptables и vpn" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Iptables и vpn"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Iptables и vpn"	+/–
Сообщение от Ivanna (ok) on 15-Сен-10, 16:35
Здравствуйте. Подскажите, пожалуйста, как лучше сделать: Нужно дать доступ снаружи(через интернет) только к определенному компьютеру Есть vpn, через него подключаемся, получаем определенный IP (192.168.0.100). В локальной сети есть компьютер 192.168.0.200. Мне нужно сделать так, чтобы 192.168.0.100 видел только 192.168.0.200 и больше ничего и никого. Можно ли это сделать с помошью iptables, если да, то как? Будут ли работать такие правила: $IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP $IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP $IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP $IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j ACCEPT $IPT -A FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j ACCEPT
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Iptables и vpn, reader, 16:49 , 15-Сен-10, (1)

Iptables и vpn, Ivanna, 17:00 , 15-Сен-10, (2)

Iptables и vpn, reader, 17:08 , 15-Сен-10, (3)

Iptables и vpn, Ivanna, 17:24 , 15-Сен-10, (4)

Iptables и vpn, reader, 17:37 , 15-Сен-10, (5)

Iptables и vpn, PavelR, 18:05 , 15-Сен-10, (6)

Iptables и vpn, Ivanna, 09:58 , 16-Сен-10, (7)

Iptables и vpn, SDenis, 00:44 , 18-Сен-10, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Iptables и vpn" +/–

Сообщение от reader (ok) on 15-Сен-10, 16:49

>[оверквотинг удален]
>192.168.0.200 и больше ничего и никого. Можно ли это сделать с
>помошью iptables, если да, то как?
>Будут ли работать такие правила:
>$IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP
>$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP
>$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP
>$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j
>ACCEPT
>$IPT -A FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j
>ACCEPT
порядок следования правил имеет значение
IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP
$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP
$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP
$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j ACCEPT
$IPT -I FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j ACCEPT
vpn клиенту лучше выдавать ip не из подсети локалки, но не забыть ему прописывать маршрут к локалке через vpn сервер

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Iptables и vpn" +/–

Сообщение от Ivanna (ok) on 15-Сен-10, 17:00

>[оверквотинг удален]
>IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP
>$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP
>$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP
>$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j
>ACCEPT
>$IPT -I FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j
>ACCEPT
>
>vpn клиенту лучше выдавать ip не из подсети локалки, но не забыть
>ему прописывать маршрут к локалке через vpn сервер
т.е. если я сделаю так:
$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j ACCEPT
$IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP
$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP
$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP
то все должно работать так, как мне нужно?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Iptables и vpn" +/–

Сообщение от reader (ok) on 15-Сен-10, 17:08

>[оверквотинг удален]
>>ему прописывать маршрут к локалке через vpn сервер
>
>т.е. если я сделаю так:
>$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j
>ACCEPT
>$IPT -A FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j
>ACCEPT
>$IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP
>$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP
>$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP
правила должны следовать примерно так, но нужно учитывать и те что уже загружены
>то все должно работать так, как мне нужно?
без смены ip может и не заработать

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Iptables и vpn" +/–

Сообщение от Ivanna (ok) on 15-Сен-10, 17:24

>без смены ip может и не заработать
Если, например, у нужного компа будет ip не 192.168.0.200, а 192.168.100.200 (конечно с прописанными маршрутами), тогда заработает?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Iptables и vpn" +/–

Сообщение от reader (ok) on 15-Сен-10, 17:37

>>без смены ip может и не заработать
>
>Если, например, у нужного компа будет ip не 192.168.0.200, а 192.168.100.200 (конечно
>с прописанными маршрутами), тогда заработает?
если в iptables других правил нет и разрешён форвард (echo 1 > /proc/sys/net/ipv4/ip_forward), то должно работать

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Iptables и vpn" +/–

Сообщение от PavelR (??) on 15-Сен-10, 18:05

>vpn клиенту лучше выдавать ip не из подсети локалки, но не забыть
>ему прописывать маршрут к локалке через vpn сервер
не вижу проблем выдавать клиенту айпи из подсети локалки.
Хотя, каждый случай надо рассматривать индивидуально.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Iptables и vpn" +/–

Сообщение от Ivanna (ok) on 16-Сен-10, 09:58

спасибо. вроде заработало. Только нужно было еще на INPUT и OUTPUT сделать разрешения на нужный IP

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Iptables и vpn" +/–

Сообщение от SDenis (??) on 18-Сен-10, 00:44

Сорри,засыпаю почти.
Читать так:

Работающие правила:

# Разрешаем трафик через интерфейс туннеля:
#
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A OUTPUT -o tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
#
# OpenVPN server
#
# Принимаем входящие соединения на порт сервера
#
iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 1194 -j ACCEPT

# Дальше (Внимание !!!) пакеты идут черерез интерфейс смотрящий в локалку
iptables -A FORWARD -p all -s $VPN_CLIENT_IP -d $TARGET_PC_IP -j ACCEPT
iptables -A FORWARD -p all -s $TARGET_PC_IP -d $VPN_CLIENT_IP -j ACCEPT

2 очень важных вещи:
1. Правила цепи FORWARD НЕ зависят от правил цепей INPUT и OUTPUT
2. INPUТ,OUTPUT,FORWARD должны быть по умолчанию запрещены.
# Default polycy DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Iptables и vpn"	+/–
Сообщение от reader (ok) on 15-Сен-10, 16:49
>[оверквотинг удален] >192.168.0.200 и больше ничего и никого. Можно ли это сделать с >помошью iptables, если да, то как? >Будут ли работать такие правила: >$IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP >$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP >$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP >$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j >ACCEPT >$IPT -A FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j >ACCEPT порядок следования правил имеет значение IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP $IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP $IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP $IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j ACCEPT $IPT -I FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j ACCEPT vpn клиенту лучше выдавать ip не из подсети локалки, но не забыть ему прописывать маршрут к локалке через vpn сервер
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Iptables и vpn"	+/–
	Сообщение от Ivanna (ok) on 15-Сен-10, 17:00
	>[оверквотинг удален] >IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP >$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP >$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP >$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j >ACCEPT >$IPT -I FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j >ACCEPT > >vpn клиенту лучше выдавать ip не из подсети локалки, но не забыть >ему прописывать маршрут к локалке через vpn сервер т.е. если я сделаю так: $IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j ACCEPT $IPT -A FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j ACCEPT $IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP $IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP $IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP то все должно работать так, как мне нужно?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Iptables и vpn"	+/–
	Сообщение от reader (ok) on 15-Сен-10, 17:08
	>[оверквотинг удален] >>ему прописывать маршрут к локалке через vpn сервер > >т.е. если я сделаю так: >$IPT -A FORWARD -p tcp -d 192.168.0.100 -m tcp -s 192.168.0.200 -j >ACCEPT >$IPT -A FORWARD -p tcp -s 192.168.0.100 -m tcp -d 192.168.0.200 -j >ACCEPT >$IPT -A INPUT -p ALL -s 192.168.0.100 -j DROP >$IPT -A OUTPUT -p ALL -s 192.168.0.100 -j DROP >$IPT -A FORWARD -p ALL -s 192.168.0.100 -j DROP правила должны следовать примерно так, но нужно учитывать и те что уже загружены >то все должно работать так, как мне нужно? без смены ip может и не заработать
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Iptables и vpn"	+/–
	Сообщение от Ivanna (ok) on 15-Сен-10, 17:24
	>без смены ip может и не заработать Если, например, у нужного компа будет ip не 192.168.0.200, а 192.168.100.200 (конечно с прописанными маршрутами), тогда заработает?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Iptables и vpn"	+/–
	Сообщение от reader (ok) on 15-Сен-10, 17:37
	>>без смены ip может и не заработать > >Если, например, у нужного компа будет ip не 192.168.0.200, а 192.168.100.200 (конечно >с прописанными маршрутами), тогда заработает? если в iptables других правил нет и разрешён форвард (echo 1 > /proc/sys/net/ipv4/ip_forward), то должно работать
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Iptables и vpn"	+/–
	Сообщение от PavelR (??) on 15-Сен-10, 18:05
	>vpn клиенту лучше выдавать ip не из подсети локалки, но не забыть >ему прописывать маршрут к локалке через vpn сервер не вижу проблем выдавать клиенту айпи из подсети локалки. Хотя, каждый случай надо рассматривать индивидуально.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Iptables и vpn"	+/–
	Сообщение от Ivanna (ok) on 16-Сен-10, 09:58
	спасибо. вроде заработало. Только нужно было еще на INPUT и OUTPUT сделать разрешения на нужный IP
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "Iptables и vpn"	+/–
	Сообщение от SDenis (??) on 18-Сен-10, 00:44
	Сорри,засыпаю почти. Читать так: Работающие правила: # Разрешаем трафик через интерфейс туннеля: # iptables -A INPUT -i tun+ -j ACCEPT iptables -A OUTPUT -o tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A OUTPUT -o tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT # # OpenVPN server # # Принимаем входящие соединения на порт сервера # iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 1194 -j ACCEPT # Дальше (Внимание !!!) пакеты идут черерез интерфейс смотрящий в локалку iptables -A FORWARD -p all -s $VPN_CLIENT_IP -d $TARGET_PC_IP -j ACCEPT iptables -A FORWARD -p all -s $TARGET_PC_IP -d $VPN_CLIENT_IP -j ACCEPT 2 очень важных вещи: 1. Правила цепи FORWARD НЕ зависят от правил цепей INPUT и OUTPUT 2. INPUТ,OUTPUT,FORWARD должны быть по умолчанию запрещены. # Default polycy DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору