Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2020-03-23 22:59:46

  debiJan - Użytkownik

debiJan
Użytkownik
Zarejestrowany: 2019-08-27

Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Witam. Muszę ograniczyć klientom dostęp przez openvpn jedynie do  możliwości łączenia się przez RDP oraz VNC do komputerów wewnątrz sieci.

Dla ułatwienia chciałbym po prostu zostawić dostęp do obu portów 3398 oraz 5900 na wszystkich maszynach w sieci 192.168.0.0/24
1.W tej chwili podłączając się do sieci firmowej poza tym mogą łączyć się z internetem jeśli ustawią sobie na klientach adres serwera proxy 192.168.0.5:8888
2.Mają dostęp do zasobów serwerów samba.

Serwer openvpn ma adres lokalny 192.168.0.2 i jest wystawiony jedynie jeden port na zewnątrz na routerze.

Aktualnie regułki iptables wyglądają tak:

Kod:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 192.168.0.2
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -D POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 192.168.0.2
iptables -D INPUT -p udp --dport 1194 -j ACCEPT
iptables -D FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Jak je zmodyfikować ? Co zmienić ? Co dodać co usunąć ?

Offline

 

#2  2020-03-24 06:48:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Na jakim interfejsie słucha OpenVPN?
To jest TUN czy TAP?

W każdym razie interfejs demona OpenVPN jest widoczny tak samo, jak każdy interfejs sieciowy  i filtrujesz na nim ruch tak samo, jak na każdym innym interfejsie sieciowym np eth0 czy eth1.

Pozdro

Ostatnio edytowany przez Jacekalex (2020-03-24 06:49:07)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2020-03-24 11:42:43

  debiJan - Użytkownik

debiJan
Użytkownik
Zarejestrowany: 2019-08-27

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Interface to ens32. W serwerze jest tylko jedna karta sieciowa.
To jest TUN.

Offline

 

#4  2020-03-24 12:50:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Nie może być jedna karta w sytuacji, kiedy na jednym interfejsie jest połączenie sieciowe z internetem, a na drugim połączenie poprzez VPN.
Trzeci interfejs to jest lo.

Więc  musisz mieć trzy interfejsy a nie jeden.
Pokaż lepiej wynik:

Kod:

ip route show

z tego serwera, zamiast bajki opowiadać.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2020-03-25 21:42:55

  debiJan - Użytkownik

debiJan
Użytkownik
Zarejestrowany: 2019-08-27

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Kod:

default via 192.168.0.1 dev ens32 onlink
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
192.168.0.0/24 dev ens32 proto kernel scope link src 192.168.0.2

Offline

 

#6  2020-03-26 00:44:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Blokada wszystkiego poza RDP i VNC klientom OpenVPN ?

Czyli na tablicy routingu widać dwie karty:

Kod:

ens32
tun0

a nie jedną.

Filtrowanie wjazdu przez serwer OpenVPN załatwisz na dwa możliwe sposoby:

Kod:

iptables -I INPUT -i tun0

albo

Kod:

iptables -I INPUT -s 10.8.0.0/24

Każde z tych dopasowań filtruje ruch idący przez OpenVPN, albo po adresach albo po nazwie interfejsu.


To by było na tyle


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)