Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Openvpn ograniczenie do kilku hostów
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam,
Wiem że pewnie można to zrobić firewallem, ale nei bardzo wiem jak to ogarnąć,
Do mojego vpn muszę podłączyć klienta, musi mieć dostęp tylko do jednego adresu IP w mojej sieci i do niczego innego.
Czy ktoś jest w stanie podpowiedzieć jak to ogarnąć.
iptables -I FORWARD -p tcp -s dobry_klient ! -d ten_jeden_ip -j DROP?
Witaj Cezary,
Dzięki za odpowiedź.
jak rozumiem "dobry_klient" w to miejsce mogę wstawić nazwę klucza klienta czy jego adres IP w podsieci openvpn?
I jeszcze jedno pytanie, jak by miała wyglądać regułka dla dostępu klienta vpn do kilku adresów w LAN?
Pozdrawiam
Jego ip, takie z jakim wychodzi na tym routerze. Jeżeli chcesz kilka adresów to najpierw bloakuj wszystko a później dopuszczaj określone adresy.
Ale, takie z jakim wychodzi przez openvpn?
Zakładając że moja sieć LAN ma adres 192.168.123.0 a open vpn chodzi na 10.8.133.0
klient któremu chcę dać dostęp do jednego ip w sieci LAN (załóżmy 192.168.123.30) ma w open vpn adres 10.8.133.5
skłądna ma wyglądać tak
iptables -I FORWARD -p tcp -s 10.8.133.5 -d 192.168.123.30 -j DROP ?
O ! zapomniałeś.
iptables -I FORWARD -p tcp -s 10.8.133.5 ! -d 192.168.123.30 -j DROP tak ?
Czy ta reguła zapisze się na stałe czy muszę jeszcze jakieś skrypty pisać aby po uruchomieniu routera wszystko działało?
Tą regułkę masz wpisać do /etc/firewall.user
Zabroni adresowi 10.8.133.5 dostępu do czegokolwiek poza adresem 192.168.123.30
Witaj, właśnie o to mi chodziło, bardzo dziękuję
Pozdrawiam
Witam,
Co prawda było to jakiś czas temu, ale temat nadal aktualny, dopiero dziś miałem okazje oraz potrzebę blokowania hostów, wykorzystałem poradę Cezarego, ale chyba coś źle zrobiłem, bo klient vpn pomimo tej reguły w /etc/firewall.user nadal ma dostęp do wszystkich hostów po stronie LAN.
Może zwykły restart routera nie wystarczy i trzeba jakoś przeładować te ustawienia firewalla?
To zrób
iptables -v -L
iptables -v -L -t nat
i zobacz czy ta reguła w ogóle jest.
Hmmm. nie widzę jej nigdzie, choć w pliku siedzi, chyba nie zaczytał tej reguły z pliku.
Pokaż
cat /etc/firewall.user
uci show firewall
Witam, przepraszam ale wygląda na to że nie sprawdziłem tego dokładnie, faktycznie reguła działa, bo klient vpn może połączyć się tylko z jednym adresem vpn, ale pingować może wszystkie, zasugerowałem się tym że pingi przechodzą, ale żadna inna łączność nie.
Więc ta reguła działa poprawnie.
A czy jesteś w stanie podpowiedzieć ja wyglądała by reguła blokująca cały ruch VPN oraz dopuszczająca do konkretnego hosta.
Bo z wcześniejszych postów wynika że aby dać dostęp konkretnemu klientowi tylko do jego hostów, to najpierw trzeba zablokować cały ruch, a potem dopuszczać po kolei klientów do konkretnych hostów.
Bo zablokowałeś TCP, a jest jeszcze UDP, ICMP i inne pakiety.
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Openvpn ograniczenie do kilku hostów
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc