Заблокировать подсеть OpenVPN

1

1

Есть openvpn сервер

Рулы на сервере:
#Раздаем клиентам интернет сервера
iptables -t nat -A POSTROUTING -s AAA.AAA.AAA.AAA/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s BBB.BBB.BBB.BBB/24 -o eth0 -j MASQUERADE

Одна машина из AAA.AAA.AAA.AAA обьеденяет сервер с один из филиалов - CCC.CCC.CCC.CCC/24, тоесть все машины из AAA.AAA.AAA.AAA/24 и BBB.BBB.BBB.BBB/24 имеют доступ к CCC.CCC.CCC.CCC/24.

Требуеться запредить полностью доступ с BBB.BBB.BBB.BBB/24 к CCC.CCC.CCC.CCC/24.

Попробывал на сервере:

1. iptables -I FORWARD -d CCC.CCC.CCC.CCC/24 -s BBB.BBB.BBB.BBB/24 -j DROP
2. iptables -A FORWARD -s BBB.BBB.BBB.BBB/24 -i tun0 -p tcp -m tcp -d CCC.CCC.CCC.CCC/24 --dport 0:65535 -j REJECT --reject-with icmp-port-unreachable
3. iptables -A FORWARD -s BBB.BBB.BBB.BBB/24 -i tun0 -p upd -m upd -d CCC.CCC.CCC.CCC/24 --dport 0:65535 -j REJECT --reject-with icmp-port-unreachable

Не помогло. К nачки из CCC.CCC.CCC.CCC/24 есть доступ из BBB.BBB.BBB.BBB/24

Ссылка

←	DNS UDP Flood (помогите разобраться, вторую неделю мучаюсь)

Отслеживание процессов и их нагрузку в истории

→

Маршруты нужны и настройки OpenVPN. Скорее всего сеть BBB имеет прямой маршрут в сеть CCC, раз правило №1 не помогает. Пакеты в этом случае не заходят в стек и напрямую перекидываются.

Правда вроде такое возможно только с dev tap... а может и нет, некогда сейчас думать и объяснять, кидайте настройки openvpn и маршрутов, тогда проще будет.

nstorm ★
(18.01.13 16:36:29 MSK)

Попробуйте подправить роуты через iproute

~~wheel~~
(18.01.13 17:22:43 MSK)

Ссылка

Ах, да. А еще делайте не маскарад, а SNAT с указанием --to-source

~~wheel~~
(18.01.13 17:23:38 MSK)

Ссылка

с соответствующих машин покажи
ip a
ip r

zolden ★★★★★
(18.01.13 17:33:41 MSK)

Ответ на: комментарий от zolden 18.01.13 17:33:41 MSK

http://pastebin.com/9PWJM6GK

windofchange ★
(18.01.13 18:46:19 MSK) автор топика

Ответ на: комментарий от nstorm 18.01.13 16:36:29 MSK

Вот http://pastebin.com/9PWJM6GK

windofchange ★
(18.01.13 18:47:56 MSK) автор топика

Ссылка

Лоровци, пожалуйста, помогите еще кто-чем может

windofchange ★
(18.01.13 22:55:21 MSK) автор топика

Ссылка

Прочитал этот тред и то, что лежит на pastebin.com, но нифига не понял конфигурацию сети. В вашем описании постоянно встречается слово «сервер» без уточнения того, что это, судя по всему их у вас несколько. Один сервер это openvpn, другой шлюз в инет.

Лучше дайте какждой машине, занимающиейса маршрутизацией какое-то имя, чтобы можно было описать связи между ними.

А так, у вас есть какое-то непонятное правило:

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

возможно, что в том месте, где вы пытаетесь запретить трафик «iptables -I FORWARD» уже нет пакетов "-s BBB.BBB.BBB.BBB/24", им уже поменяли src-ip адрес. Как вариант, можно на одной из машин BBB.BBB.BBB.BBB/24 запустить ping или ещё какую команду и посмотреть tcpdump'ом какие пакеты идут на сервере openvpn.

mky ★★★★★
(20.01.13 00:20:17 MSK)

Ответ на: комментарий от mky 20.01.13 00:20:17 MSK

возможно, что в том месте, где вы пытаетесь запретить трафик «iptables -I FORWARD» уже нет пакетов "-s BBB.BBB.BBB.BBB/24", им уже поменяли src-ip адрес.

На то он и POSTrouting называется, что меняет после FORWARD.

nstorm ★
(21.01.13 06:41:11 MSK)

Ответ на: комментарий от windofchange 18.01.13 18:46:19 MSK

Вообще что-то навертели в конфиге. :)

server 10.19.0.0 255.255.255.0

Что это за сеть 10.19.0.x?

Конфиг тачки которая обременяет 10.19.20.0/24 с 10.19.19.0/24 и 10.19.201.0/24

Обременяет? Может «объедининяет»? Что за «тачка», в какой подсети она?

ifconfig-push 10.19.19.81 10.19.19.82

Что это такое? Согласно ману второй параметр - маска подсети.

nstorm ★
(21.01.13 06:54:36 MSK)

Ссылка

Ответ на: комментарий от nstorm 21.01.13 06:41:11 MSK

Вы, если разобрались со схемой сети ТС, то так и скажите, что на той машине, которая объединяет сети нет MASQUERADE.

На то он и POSTrouting называется, что меняет после FORWARD.

Ага, особенно, если машины разные.

mky ★★★★★
(21.01.13 12:45:26 MSK)

Ответ на: комментарий от mky 21.01.13 12:45:26 MSK

Я не совсем разобрался в схеме сети ТС, поэтому и спросить у него дополнительные вопросы.

А вам я ответил, что маскарад не помешает запретить в FORWARD, т.к. -s BBB/24 там еще есть, т.к. маскарад меняет исходный IP _после_.

nstorm ★
(22.01.13 16:37:42 MSK)

Ответ на: комментарий от nstorm 22.01.13 16:37:42 MSK

> т.к. маскарад меняет исходный IP _после_

Ага, особенно, если машины разные.

Если ТС делает маскарад пакетов из сети B на машине, которая объединяет сети A и B, а запрещает FORWARD на машине, которая делает openvpn, то FORWARD будет после MASQUERADE.

mky ★★★★★
(25.01.13 02:47:16 MSK)

Ответ на: комментарий от mky 25.01.13 02:47:16 MSK

Все, понял, о чем вы. Действительно так, если речь идет о разных машинах. ) Конечно, если на роутер из сети приходят пакеты уже «заNATченые», то и source ip у них уже другой.

nstorm ★
(25.01.13 08:17:18 MSK)