Настройка iptables CentOS 6

0

2

Здравствуйте! Возникли трудности в настройке Iptables на сервере под CEntos 6 (сервер в качестве интернет шлюза без прокси, dhcp, samba, openvpn server). eth0 - смотрит в интернет tap0 - openvpn интерфейс 10.10.10.0/24 eth1 - смотрит в сеть

Цель сделать так что бы клиенты vpn сети не видели друг друга, разрешить, прокинуть им только 2 порта для обращения к серверу внутри сети и никуда более, при этом будет еще один клиент из этой же сети - админ, то есть я, и что бы при этом я мог обращаться ко всем клиентам vpn + во внутреннюю сеть за шлюзом для администрирования. Адреса vpn клиентов статические. Вот и вся проблема. Немогу предоставить свой конфиг iptables ибо я пробовал и так и сяк но никаких результатов не дало. Iptables'ом в совершенстве не владею и незнаю многих ньюансов поэтому обратился к вам. Буду рад любой помощи, советам, готовым конфигам (особенно рад).

Ссылка

←	А как логоффнуться из гуи редхата/центоса без моуса ?

dnsmasq: duplicate IP address in dhcp-config directive. ошибка

→

Понимаешь друг, тут никто не будет для тебя писать с нуля iptables.
Покажи что ты сам сделал, и что у тебя при твоей конфигурации не работает.

dada ★★★★★
(14.05.14 11:09:03 MSK)

Ссылка

понял...ну как сказать....я застопорился вот на этом:

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

далее я хочу разрешить входящее на eth0

iptables -A INPUT -i eth0 -j ACCEPT

при это vpn клиенты конектятся и видят друг другаа так же видят сервер. Теперь мне нужно запретить клиентам видеть друг друга но при этом что бы они видели только сервер, что бы я их пакеты мог дальше отправить на внутренний сервер. Писал к примеру так

iptables -A INPUT -i tap0 -j DROP

после этого пинги на сервер не идут, но клиенты все равно видят друг друга, тут я понял что они вертяться на eth0 поэтому и видят друг друга....незнаю как запретить это...что бы не видили друг друга, но при этом что бы один из клиентов (админ) видел всех... пробовал что то типо такого

iptables -A INPUT -i eth0 -s 10.10.10.0/24 -j DROP

но даже при этом они все равно видят друг друга...и по сути дальше немогу сдвинуться с места...

qunn
(14.05.14 11:23:17 MSK) автор топика

Ссылка

Ну даже можно поставить по другому вопрос....как можно запретить компам определенной подсети видеть друг друга...

qunn
(14.05.14 14:31:44 MSK) автор топика

Ответ на: комментарий от qunn 14.05.14 14:31:44 MSK

Так, вопрос сводится к «как запретить всем из 192.168.0.0 видеть всех 192.168.1.0» ?

dada ★★★★★
(14.05.14 14:54:05 MSK)

Ссылка

Нет, запретить 192.168.1.0\24 видеть друг друга, например что бы 192.168.1.10, 192.168.1.11, 192.168.1.12 не видели друг друга, при этом что бы они все видели сервер 192.168.1.1 и что бы соответственно сервер видел их....короче говоря изолировать их друг от друга.

qunn
(14.05.14 17:33:57 MSK) автор топика

Ответ на: комментарий от qunn 14.05.14 17:33:57 MSK

читай внимательно

expelled ★★
(14.05.14 18:04:00 MSK)

Ссылка

прочитал, но не понял к чему это? в предыдущем посте я имел ввиду сеть 192.168.1.0 с маской 255.255.255.0 и перечислил компьютеры с IP адресами которые хочу изолировать друг от друга....хоть убей не понял к чему ты это)))

qunn
(14.05.14 18:33:04 MSK) автор топика

Ответ на: комментарий от qunn 14.05.14 18:33:04 MSK

Каждому пользователю подсеть /32. Дело в том, что компьютеры в одной подсети могут общаться без маршрутизатора.

KIRALEX
(15.05.14 01:28:17 MSK)

Ответ на: комментарий от KIRALEX 15.05.14 01:28:17 MSK

Wifi сеть еще можно настроить изолированной

KIRALEX
(15.05.14 01:29:21 MSK)

Ссылка

так ну ладно....сделал немного проще, хотя не уверен что дальше моя задумка заработает...в openvpn серверном конфиге отключил client-to-client изолировав их друг от друга.....буду надеятся что дальше я смогу клиента-админа настроить перенаправления с сервера что бы он видел всех.....

а сейчас если я вас сильно еще не замучал буду рад помощи:

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

#iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.100.0/24 -p tcp -m multiport --dports 21,22,25,110,143,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.100.0/24 -p udp -m multiport --dports 53 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.100.0/24 -p tcp -m multiport --dports 53 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i eth0 -p ICMP -j ACCEPT

iptables -A INPUT -i tap0 -s 10.10.10.0/24 -j ACCEPT

вот сейчас такой конфиг....сервер не выходит и не пингует интернет, хотя у меня стоит правило OUTPUT - ACCEPT

qunn
(15.05.14 07:34:30 MSK) автор топика

Ссылка

спасибо за не активную помощь. Я все понимаю глупый, незнающий, не любитель читать мануалы, но все же мануалы читал, но проблемы с понимаем. Решил проблему совсем по другому и другим путем. Не все же умные как вы. Спасибо не скажу. Счастливо всем.

qunn
(16.05.14 07:55:08 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	А как логоффнуться из гуи редхата/центоса без моуса ?

Admin

dnsmasq: duplicate IP address in dhcp-config directive. ошибка

→

Похожие темы