forum.opennet.ru - "iptables + tun" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables + tun"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables + tun"	–1 +/–
Сообщение от gemajane (ok) on 20-Апр-15, 10:36
Добрый день. Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам. Есть такие правила: 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT 2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP. Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn через tun -подключение?
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables + tun, pavel_simple, 12:05 , 20-Апр-15, (1)

iptables + tun, fantom, 12:49 , 20-Апр-15, (2)
iptables + tun, ruata, 13:38 , 20-Апр-15, (3)

iptables + tun, gemajane, 04:33 , 21-Апр-15, (4)

iptables + tun, pavel_simple, 07:08 , 21-Апр-15, (5)

iptables + tun, gemajane, 08:02 , 21-Апр-15, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables + tun" +/–

Сообщение от pavel_simple (ok) on 20-Апр-15, 12:05

>[оверквотинг удален]
> Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам.
> Есть такие правила:
> 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
> DROP.
> Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn
> через tun -подключение?
-i tun

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables + tun" +/–

Сообщение от fantom (ok) on 20-Апр-15, 12:49

>[оверквотинг удален]
>> Есть такие правила:
>> 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport
>> 9001 -j ACCEPT
>> 2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport
>> 9001 -j ACCEPT
>> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
>> DROP.
>> Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn
>> через tun -подключение?
> -i tun
Или вообще -i убрать....

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables + tun" +/–

Сообщение от ruata on 20-Апр-15, 13:38

Чтобы попали все интерфейсы даного типа -i tun+
man iptables
If the interface name ends in  a  "+", then any interface which begins with this name will match.  If this option is omitted, any interface name will match.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "iptables + tun" +/–

Сообщение от gemajane (ok) on 21-Апр-15, 04:33

> Чтобы попали все интерфейсы даного типа -i tun+
> man iptables
> If the interface name ends in  a  "+", then any
> interface which begins with this name will match.  If this
> option is omitted, any interface name will match.
1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2.1 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport 9001 -j ACCEPT
3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP.

Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на котором vpn настроен?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "iptables + tun" +/–

Сообщение от pavel_simple (ok) on 21-Апр-15, 07:08

>[оверквотинг удален]
> 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 2.1 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
> DROP.
> Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на
> котором vpn настроен?
как много нам открытbй нjвых... а что вы ещё не оговорили в постановке вопроса?
пометить или отправить в тунель трафик от vpn-прокри а потом уже на основе имеющихка маркеров делать правила.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "iptables + tun" +/–

Сообщение от gemajane (ok) on 21-Апр-15, 08:02

>[оверквотинг удален]
>> 2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport
>> 9001 -j ACCEPT
>> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
>> DROP.
>> Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на
>> котором vpn настроен?
> как много нам открытbй нjвых... а что вы ещё не оговорили в
> постановке вопроса?
> пометить или отправить в тунель трафик от vpn-прокри а потом уже на
> основе имеющихка маркеров делать правила.
Мой опыт в iptables минимален. Я просто рассуждаю,в чем может быть причина
На прокси нашла такие правила, касающиеся vpn:
OPENVPN_IFACE="tun0"
OPENVPN_PORT="443"
#OpenVPN
$IPTABLES -A tcp_packets -p TCP -s 0/0 --destination-port $OPENVPN_PORT -j ACCEPT
#OpenVPN
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port $OPENVPN_PORT -j ACCEPT

#OpenVPN
$IPTABLES -A INPUT -p ALL -i $OPENVPN_IFACE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i tun0 -j ACCEPT

$IPTABLES -A FORWARD -i $OPENVPN_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o tun0 -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $OPENVPN_IFACE -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -s 192.168.200.0/24 -o $LAN_IFACE -j SNAT --to-source $LAN_IP

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables + tun"	+/–
Сообщение от pavel_simple (ok) on 20-Апр-15, 12:05
>[оверквотинг удален] > Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам. > Есть такие правила: > 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport > 9001 -j ACCEPT > 2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport > 9001 -j ACCEPT > 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j > DROP. > Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn > через tun -подключение? -i tun
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "iptables + tun"	+/–
	Сообщение от fantom (ok) on 20-Апр-15, 12:49
	>[оверквотинг удален] >> Есть такие правила: >> 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport >> 9001 -j ACCEPT >> 2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport >> 9001 -j ACCEPT >> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j >> DROP. >> Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn >> через tun -подключение? > -i tun Или вообще -i убрать....
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "iptables + tun"	+/–
	Сообщение от ruata on 20-Апр-15, 13:38
	Чтобы попали все интерфейсы даного типа -i tun+ man iptables If the interface name ends in a "+", then any interface which begins with this name will match. If this option is omitted, any interface name will match.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "iptables + tun"	+/–
	Сообщение от gemajane (ok) on 21-Апр-15, 04:33
	> Чтобы попали все интерфейсы даного типа -i tun+ > man iptables > If the interface name ends in a "+", then any > interface which begins with this name will match. If this > option is omitted, any interface name will match. 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT 2.1 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT 2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport 9001 -j ACCEPT 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP. Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на котором vpn настроен?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "iptables + tun"	+/–
	Сообщение от pavel_simple (ok) on 21-Апр-15, 07:08
	>[оверквотинг удален] > 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport > 9001 -j ACCEPT > 2.1 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport > 9001 -j ACCEPT > 2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport > 9001 -j ACCEPT > 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j > DROP. > Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на > котором vpn настроен? как много нам открытbй нjвых... а что вы ещё не оговорили в постановке вопроса? пометить или отправить в тунель трафик от vpn-прокри а потом уже на основе имеющихка маркеров делать правила.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "iptables + tun"	+/–
	Сообщение от gemajane (ok) on 21-Апр-15, 08:02
	>[оверквотинг удален] >> 2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport >> 9001 -j ACCEPT >> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j >> DROP. >> Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на >> котором vpn настроен? > как много нам открытbй нjвых... а что вы ещё не оговорили в > постановке вопроса? > пометить или отправить в тунель трафик от vpn-прокри а потом уже на > основе имеющихка маркеров делать правила. Мой опыт в iptables минимален. Я просто рассуждаю,в чем может быть причина На прокси нашла такие правила, касающиеся vpn: OPENVPN_IFACE="tun0" OPENVPN_PORT="443" #OpenVPN $IPTABLES -A tcp_packets -p TCP -s 0/0 --destination-port $OPENVPN_PORT -j ACCEPT #OpenVPN $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port $OPENVPN_PORT -j ACCEPT #OpenVPN $IPTABLES -A INPUT -p ALL -i $OPENVPN_IFACE -j ACCEPT $IPTABLES -A INPUT -p ALL -i tun0 -j ACCEPT $IPTABLES -A FORWARD -i $OPENVPN_IFACE -j ACCEPT $IPTABLES -A OUTPUT -p ALL -o tun0 -j ACCEPT $IPTABLES -A OUTPUT -p ALL -o $OPENVPN_IFACE -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s 192.168.200.0/24 -o $LAN_IFACE -j SNAT --to-source $LAN_IP
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору