[openvpn][iptables] Пускать только одного юзверя через vpn

0

1

Добрый день, поднял туннель на openvpn. Хочу чтоб только один пользователь пользовался интернетом через туннель. Сделал вот что

iptables:

iptables -t mangle -A OUTPUT -m owner --uid-owner 1000 -j MARK --set-mark 0x1

ip rule:

ip rule add fwmark 0x1 table 120

ip route:

ip r a default via 10.250.172.1 table 120 // сервер впн

ip r show table 120:

default via 10.250.172.1 dev tun0 
192.168.100.0/24 dev eth0  proto kernel  scope link  src 192.168.100.32

В итоге пользователь может зайти по ssh и веб на 10.250.172.1.
Может пинговать все что захочет.
Зайти на любой сервер будь то вебстраничка гугла или же ssh сервера на 172.1, но со стороны интернета.. клиент висит, как будто пакеты отправляет, но не принимает.
Не подскажет кто, как забороть?

Ссылка

←	Asterisk: дистрибутив с LDAP-интеграцией «из коробки»

прокси или веб-север, хранящий http-сессию, в промежутке между веб-верверов, требующим авторизацию и клиентом, которому надо сразу отдать страницу

→

со стороны Интернета происходит следующее:

1) приходит пакет на комп, обрабатывается неким сетевым демоном.
2) формируется ответный пакет, отсылается...
3) нет маршрута на 10.250.172.1 (потому что он только лишь для UID=1000, а сетевой демон работает совсем под другим UID'ом)
4) отваливаемся по ошибке.

Как вариант, можно назначить дефолтный роут для всех, но при этом запретить в filter/OUTPUT-цепочке соединения со статусом NEW, разрешить только для UID=1000.

Slavaz ★★★★★
(07.09.11 17:37:49 MSK)

Ответ на: комментарий от Slavaz 07.09.11 17:37:49 MSK

А может пакеты с 10.250.172.1 маркировать на 0x1?

fjfalcon ★★★
(07.09.11 17:41:27 MSK) автор топика

Ответ на: комментарий от fjfalcon 07.09.11 17:41:27 MSK

> А может пакеты с 10.250.172.1 маркировать на 0x1?
можно и так попробовать. Типа,
ip rule add from 10.250.172.1 table 120

Slavaz ★★★★★
(07.09.11 17:44:37 MSK)

Ответ на: комментарий от Slavaz 07.09.11 17:44:37 MSK

Неа, не подходит. Не подскажите, а в какой ветке надо обратный роут прописать? prerouting, postrouting?

fjfalcon ★★★
(07.09.11 17:47:18 MSK) автор топика

Ответ на: комментарий от fjfalcon 07.09.11 17:47:18 MSK

да, верно, не подходит. Надо прописывать не адрес шлюза. а адрес локального интерфейса, который в «шлюз» смотрит.

а в какой ветке надо обратный роут прописать? prerouting, postrouting?

немного не понял вопроса.

Slavaz ★★★★★
(07.09.11 17:51:07 MSK)

Ответ на: комментарий от Slavaz 07.09.11 17:51:07 MSK

увы, адрес локального интерфейса тоже не подходит.
Пока текущее состояние.

шлюз по умолчанию 100.1
. 10.250.172.2 p-t-p - локальный интерфейс
10.250.171.1 vpn server
ip r:

default via 192.168.100.1 dev eth0 
10.25.172.2 dev tun0  proto kernel  scope link  src 10.250.172.1 
127.0.0.0/8 dev lo  scope link 
192.168.100.0/24 dev eth0  proto kernel  scope link  src 192.168.100.32

ip r show table 120

default via 10.250.172.1 dev tun0 
10.25.172.2 dev tun0  proto kernel  scope link  src 10.250.172.1 
192.168.100.0/24 dev eth0  proto kernel  scope link  src 192.168.100.32

ip rule show

0:	from all lookup local 
32763:	from 10.250.172.2 lookup 120 
32764:	from 10.250.172.1 lookup 120 
32765:	from all fwmark 0x1 lookup 120 
32766:	from all lookup main 
32767:	from all lookup default

fjfalcon ★★★
(07.09.11 18:28:10 MSK) автор топика