Порезать форвардинг VPN

1

1

Доброй ночи.

Есть openvpn сервер, форвардинг включен. Для некоторых клиентов хочется порезать доступ, а именно чтобы у них не было доступа ко всем клиентам кроме указанных.

Изначально идея решения была следующая: с помощью iptables дропнуть все, что приходит с IP клиента (в сети VPN), а затем разрешить пакеты от этого IP клиента только для некоторых destination.

Ничего не получилось. Удалось фильтрануть только трафик от клиента к серверу, а все остальное форвардится абсолютно игнорируя подобные правила. Решил разобраться и начал снифить.

tcpdump -i tap0 src <client-ip-in-vpn-network>

Как я понял, все пакеты, которые форвардятся сервером и направляются к другим клиентам VPN сети, в src имеют адрес не tap-интерфейса, а видимо инкапсулируются через eth-пакеты (в src имеют IP адрес, который на eth).

Если так оно и есть, возникает вопрос: а как же мне отследить пакеты которые отправляются с определенного адреса VPN сети к другим клиентам (зная только адрес клиента в VPN сети)? Ну и с помощью фаервола резануть форвардинг.

Ссылка

←	bacula и настройка сетевых интерфесов

Apache is functioning normally

→

Я так понимаю, что в любом случае клиентов нужно сначала разделить по подсетям, а потом задавать специфические маршруты для каждой из групп.

P.S. При чем тут Debian??

alozovskoy ★★★★★
(01.12.12 06:15:46 MSK)

Изначально идея решения была следующая: с помощью iptables дропнуть все, что приходит с IP клиента (в сети VPN), а затем разрешить пакеты от этого IP клиента только для некоторых destination.

А надо наоборот.

И рулить надо не тем, что приходит, а тем, что проходит, то есть цепочкой FORWARD.

ansky ★★★★★
(01.12.12 13:42:04 MSK)

Ответ на: комментарий от ansky 01.12.12 13:42:04 MSK

И рулить надо не тем, что приходит, а тем, что проходит, то есть цепочкой FORWARD.

Пробовал разные варианты INPUT/OUTPUT/FORWARD. Проблема в том, что при форвардинге пакеты приходят не с VPNовского айпишника. Я не могу их отфильтровать.

А вообще, alozovskoy дело говорит. Вроде это логичное решение.

observer ★★★
(01.12.12 13:47:06 MSK) автор топика

Ссылка

Ответ на: комментарий от alozovskoy 01.12.12 06:15:46 MSK

Спасибо.

P.S. При чем тут Debian??

По привычке ночью поставил. Иногда дистрибутив имеет значение.

observer ★★★
(01.12.12 13:47:41 MSK) автор топика

Ответ на: комментарий от observer 01.12.12 13:47:41 MSK

Чем закончилось то?

~~ktulhu666~~ ☆☆☆
(01.12.12 13:50:45 MSK)

Ответ на: комментарий от ktulhu666 01.12.12 13:50:45 MSK

Чем закончилось то?

Не делал еще, но пока не вижу возможных проблем если я клиентов разделю на разные подсети. Некоторых клиентов подключу к двум сетям, если в этом будет необходимость.

observer ★★★
(01.12.12 13:53:41 MSK) автор топика

Ответ на: комментарий от observer 01.12.12 13:53:41 MSK

Защита от подмены IP клиентами уже продумана, надеюсь? :))

~~ktulhu666~~ ☆☆☆
(01.12.12 14:46:05 MSK)

Ответ на: комментарий от ktulhu666 01.12.12 14:46:05 MSK

Защита от подмены IP клиентами уже продумана, надеюсь? :))

У меня по VPNу расдаются только статические адреса. Одним ключем можно получить только конкретный айпишник.

observer ★★★
(01.12.12 15:38:49 MSK) автор топика

Ответ на: комментарий от observer 01.12.12 15:38:49 MSK

Иначе говоря: если клиент самостоятельно изменит свой IP в твоей сети он не станет маршрутизироваться, верно?

~~ktulhu666~~ ☆☆☆
(01.12.12 15:59:40 MSK)

Ответ на: комментарий от ktulhu666 01.12.12 15:59:40 MSK

Иначе говоря: если клиент самостоятельно изменит свой IP в твоей сети он не станет маршрутизироваться, верно?

Да. Он даже не сможет подключиться к серверу именно через VPN.

observer ★★★
(01.12.12 17:21:29 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	bacula и настройка сетевых интерфесов

Admin

Apache is functioning normally

→

Похожие темы