openvpn правила для iptables

2

1

имеем

конфиг


port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.4.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Интерфейсы


ppp0 – Сеть интернет 
eth0- локалка
tun0-VPN сервер

1) Разрешаем порт 1194 для всех интерфейсов
iptables -A INPUT  -p tcp  --dport 1194 -j ACCEPT

2)Маскарадим 
iptables -t nat -A POSTROUTING --out-interface ppp0 -j SNAT --to-source tun0

3)Прокидуем пакеты для интефейсов 
iptables -A FORWARD -i ppp0 -о tun0  --dport 1194 -j ACCEPT
*****************

Насколько я понял транзитный трафик нужно разрешить между всеми интерфейсами ?

Ссылка

←	два канала в инет с балансировкой трафика+проброс SIP на внутренний ПК

VRRP, два шлюза и FTP сервер

→

тебе одного маскарада/snat не хватит?

~~xtraeft~~ ★★☆☆
(30.05.12 12:15:31 MSK)

Ответ на: комментарий от xtraeft 30.05.12 12:15:31 MSK

Ну насколько я помню NAT-правила не обеспечивают форвардинг трафика между интерфейсами, они непосредственно имеют дело с перезаписыванием адресов отправителя/получателя и портов. Для продвижения трафика используется цепочка FORWARD таблицы filter

drac753 ★★
(30.05.12 12:20:59 MSK) автор топика

Какой странный маскарад...
-j SNAT --to-source tun0 не должно даже добавиться, т.к. tun0 не является ip-адресом. Если имелся ввиду именно адрес, то не должно работать, т.к. на выходе из интерфейса ppp0 адрес отправителя будет от tun0. Или это какой-то Хитрый План?
Прокидывание тоже непонятное. Разрешены соединения из интернетов к другим (openvpn) серверам через уже поднятый tun0.

NightSpamer ★
(30.05.12 12:25:29 MSK)

Ответ на: комментарий от NightSpamer 30.05.12 12:25:29 MSK

гммм верно тогда так

iptables -t nat -A POSTROUTING --out-interface tun0 -j SNAT --to-soure белыйip
По поводу форвардинга вопрос - насколькоя я понял 

1)нужно дать доступ из инета к моему VPN 

iptables -A FORWARD -i ppp0 -о tun0 -d   ipVPNservera   --dport 1194 -j ACCEPT

Тоесть разрешаем приходит пакетам из нета для моего сервака .

или я не прав ?

drac753 ★★
(30.05.12 12:37:48 MSK) автор топика

Ответ на: комментарий от drac753 30.05.12 12:37:48 MSK

сообственно вопрос еще -

Что необходимо FORWARD для работы VPN сервака (клиенты будут цеплятся с наружи и из локалки )?

drac753 ★★
(30.05.12 12:49:11 MSK) автор топика

Ссылка

Ответ на: комментарий от drac753 30.05.12 12:20:59 MSK

По учебнику:
1. разрешаем пересылку:

echo 1 > /proc/sys/net/ipv4/ip_forward

2. разрешаем подключаться к openvpn-серверу с любой стороны:

iptables -A INPUT  -p tcp  --dport 1194 -j ACCEPT

3. разрешаем всем openvpn-клиентам соединение с интернетами:

iptables -A FORWARD -i tun0 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Если ip-адрес на ppp0 статический, то лучше будет так:

iptables -A FORWARD -i tun0 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-soure <ip на ppp0>

Уже должно работать. Далее по парано^W безопасности:
разрешаем только установленные и связанные с ними соединения:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

И запрещаем всё, что не разрешено явно (в данном случае разрешены только входящие openvpn соединения):

iptables -P INPUT DROP
iptables -P FORWARD DROP

NightSpamer ★
(30.05.12 12:49:39 MSK)

Ответ на: комментарий от NightSpamer 30.05.12 12:49:39 MSK

Ссылку на учебник киньте пожалуйста

drac753 ★★
(30.05.12 12:51:01 MSK) автор топика

Ответ на: комментарий от drac753 30.05.12 12:51:01 MSK

google://iptables+tutorial :)

NightSpamer ★
(30.05.12 12:52:25 MSK)

Ответ на: комментарий от NightSpamer 30.05.12 12:52:25 MSK

спасиб :)

drac753 ★★
(30.05.12 12:58:52 MSK) автор топика

Ссылка

Ответ на: комментарий от NightSpamer 30.05.12 12:52:25 MSK

может туплю но

iptables -A FORWARD -i tun0 -o ppp0 -j ACCEPT

Работает это так - транзитные пакеты с tun0 пробрасываются на ppp0 ,
тоесть vpn сервак может слать пакеты в нет .

А в обратную сторону это работает, тесть получать пакеты из нета для tun0 ?

drac753 ★★
(30.05.12 13:07:55 MSK) автор топика

Ответ на: комментарий от drac753 30.05.12 13:07:55 MSK

еще уточнить хочу

ppp0 – Сеть интернет  белый ip
eth0- локалка 
tun0-VPN серв - 10.8.0.1

Белый ip имее тока ppp0

drac753 ★★
(30.05.12 13:18:00 MSK) автор топика

Ответ на: комментарий от drac753 30.05.12 13:07:55 MSK

В обратную сторону это или происходит само-собой для установленных соединений, или нужно применять DNAT, чтобы при обращении к серверу (на его белый ip), пакеты пересылались vpn-клиенту.
Т.е. случай 1: vpn-клиент набирает в браузере httр://example.com. Пакеты отправляются сквозь роутер, где правилом SNAT у них меняется <адрес отправителя> на адрес интерфейса ppp0 роутера и отправляются через ppp0 в интернет. example.com генерирует ответ (содержимое страницы) и отправляет на <адрес отправителя>, который был указан в приходящих пакетах. Т.е. на ppp0 роутера, который знает, что пакеты этого соединения нужно отправить тому самому vpn-клиенту. Тут всё происходит само собой. Нужно только правильно указать SNAT или MASQUERADE.
И случай 2: Нужно установить соединение с vpn-клиентом из интернетов. Тут есть несколько вариантов. Один из них - настроить роутер так, чтобы он (например) всё, что приходит на порты 30000-30010 перенаправлял к vpn-клиенту. Правило будет выглядеть как-то так:

-A PREROUTING -p tcp -m tcp --dport 30000:30010 -j DNAT --to-destination 192.168.0.3

тут 192.168.0.3 - адрес этого самого клиента, который был не виден из инета напрямую.

NightSpamer ★
(30.05.12 13:56:06 MSK)

Ответ на: комментарий от drac753 30.05.12 13:18:00 MSK

Это был вопрос, или утверждение?

NightSpamer ★
(30.05.12 14:00:12 MSK)

Ответ на: комментарий от NightSpamer 30.05.12 14:00:12 MSK

уже разобрался спасибо

drac753 ★★
(30.05.12 14:05:59 MSK) автор топика

Ссылка

Ответ на: комментарий от NightSpamer 30.05.12 12:49:39 MSK

3. разрешаем всем openvpn-клиентам соединение с интернетами:

Если уж всем клиентам, то тогда "-i tun+ -o ppp0 -j ACCEPT"

mky ★★★★★
(30.05.12 15:32:22 MSK)

Ответ на: комментарий от mky 30.05.12 15:32:22 MSK

При dev tun на каждое соединение новый интерфейс на сервере поднимается? Я не помню, просто :) давно на tap перебрался, там такого точно нет.

NightSpamer ★
(30.05.12 17:04:01 MSK)

Ответ на: комментарий от NightSpamer 30.05.12 13:56:06 MSK

 -A PREROUTING -p tcp -m tcp --dport 30000:30010 -j
DNAT --to-destination 192.168.0.3

а чтобы они улетали обратно, как прописать SNAT/MASQUERADE ?

psy11
(30.05.12 19:05:40 MSK)

Ответ на: комментарий от psy11 30.05.12 19:05:40 MSK

Если (для клиентов) vpn-сервер ещё и шлюз по умолчанию, то не обязательно. Ответ в интернет всё равно будет происходить через vpn-сервер.

А в общем случае - всему, что будет вылезать из tun0 ставим <адрес_отправителя>=адрес_на_tun0:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
или
iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source <ip на tun0>

А iptables tutorial всё-таки покури. Там всё это расписано так, что даже я понял.

NightSpamer ★
(31.05.12 08:22:50 MSK)

Ссылка

Ответ на: комментарий от NightSpamer 30.05.12 17:04:01 MSK

При dev tun на каждое соединение новый интерфейс на сервере поднимается?

Не, у ТС мультиклиентский сервер, tun один должен быть. А вообще сколько конфигов в /etc/openvpn положил, - столько и интерфейсов поднимится.

lvi ★★★★
(31.05.12 15:20:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	два канала в инет с балансировкой трафика+проброс SIP на внутренний ПК

Admin

VRRP, два шлюза и FTP сервер

→

Похожие темы