Forum Debian Users Gang

debiJan · 2020-03-23 22:59:46

Witam. Muszę ograniczyć klientom dostęp przez openvpn jedynie do możliwości łączenia się przez RDP oraz VNC do komputerów wewnątrz sieci.

Dla ułatwienia chciałbym po prostu zostawić dostęp do obu portów 3398 oraz 5900 na wszystkich maszynach w sieci 192.168.0.0/24
1.W tej chwili podłączając się do sieci firmowej poza tym mogą łączyć się z internetem jeśli ustawią sobie na klientach adres serwera proxy 192.168.0.5:8888
2.Mają dostęp do zasobów serwerów samba.

Serwer openvpn ma adres lokalny 192.168.0.2 i jest wystawiony jedynie jeden port na zewnątrz na routerze.

Aktualnie regułki iptables wyglądają tak:

Kod:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 192.168.0.2
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -D POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 192.168.0.2
iptables -D INPUT -p udp --dport 1194 -j ACCEPT
iptables -D FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Jak je zmodyfikować ? Co zmienić ? Co dodać co usunąć ?

Jacekalex · 2020-03-24 06:48:22

Na jakim interfejsie słucha OpenVPN?
To jest TUN czy TAP?

W każdym razie interfejs demona OpenVPN jest widoczny tak samo, jak każdy interfejs sieciowy i filtrujesz na nim ruch tak samo, jak na każdym innym interfejsie sieciowym np eth0 czy eth1.

Pozdro

Ostatnio edytowany przez Jacekalex (2020-03-24 06:49:07)

debiJan · 2020-03-24 11:42:43

Interface to ens32. W serwerze jest tylko jedna karta sieciowa.
To jest TUN.

Jacekalex · 2020-03-24 12:50:57

Nie może być jedna karta w sytuacji, kiedy na jednym interfejsie jest połączenie sieciowe z internetem, a na drugim połączenie poprzez VPN.
Trzeci interfejs to jest lo.

Więc musisz mieć trzy interfejsy a nie jeden.
Pokaż lepiej wynik:

Kod:

ip route show

z tego serwera, zamiast bajki opowiadać.

debiJan · 2020-03-25 21:42:55

Kod:

default via 192.168.0.1 dev ens32 onlink
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
192.168.0.0/24 dev ens32 proto kernel scope link src 192.168.0.2

Jacekalex · 2020-03-26 00:44:49

Czyli na tablicy routingu widać dwie karty:

Kod:

ens32
tun0

a nie jedną.

Filtrowanie wjazdu przez serwer OpenVPN załatwisz na dwa możliwe sposoby:

Kod:

iptables -I INPUT -i tun0

albo

Kod:

iptables -I INPUT -s 10.8.0.0/24

Każde z tych dopasowań filtruje ruch idący przez OpenVPN, albo po adresach albo po nazwie interfejsu.

To by było na tyle

Forum Debian Users Gang

Ogłoszenie

#1 2020-03-23 22:59:46

debiJan - Użytkownik

Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Kod:

#2 2020-03-24 06:48:22

Jacekalex - Podobno człowiek...;)

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

#3 2020-03-24 11:42:43

debiJan - Użytkownik

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

#4 2020-03-24 12:50:57

Jacekalex - Podobno człowiek...;)

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Kod:

#5 2020-03-25 21:42:55

debiJan - Użytkownik

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Kod:

#6 2020-03-26 00:44:49

Jacekalex - Podobno człowiek...;)

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Kod:

Kod:

Kod:

Stopka forum