LINUX.ORG.RU

iptables подключение к интернету и пуск клиентов через VPN


1

1

Добрый день, такая задача. К интернету подключение создается и поднимается интерфейс ppp911. Клиенты подключаются и получают вход в корпоративную сеть, но не видят друг друга. Как добавить строчки:

iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT
Но при этом, чтоб интерфейс ppp911 не попадал под них.



Последнее исправление: Mifey (всего исправлений: 2)

Ограничьте адресными диапазонами - наверняка подсети VPN и локалки отличаются.

gserg ★★
()
Ответ на: комментарий от gserg

Так вот именно, что не отличаются, vpn и создана, чтоб пускать клиентов из вне в внутреннюю сеть.

Mifey
() автор топика
Ответ на: комментарий от hbars

Скрипт есть, но он добавляет это для локальной сети, все работает, но впн-клиенты не видят друг друга, вот и хочу так дописать, но тогда правило подпадет и под ppp911, что не хорошо и не должно быть.

Mifey
() автор топика
Ответ на: комментарий от Mifey

Сделай --zero и заново их нарисуй как тебе нужно.
Поможет.

hbars ★★★★★
()
Последнее исправление: hbars (всего исправлений: 1)
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp911 -j DROP
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT

Вместо DROP можешь заюзать что угодно

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Разве эта строчка не разрешит все входящие на интерфейсе ррр911?

iptables -A INPUT -i ppp+ -j ACCEPT

Может сначала закрыть все на нем?

#Закрываем все остальное на интерфейсе интернета                                
iptables -A INPUT -i ppp911 -j DROP                                               
iptables -A FORWARD -i ppp911 -j DROP                                             
#Открываем все для сети впн                                                     
iptables -A INPUT -i ppp+ -j ACCEPT                                             
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT     

Или нужно как-то по-другому?

Mifey
() автор топика
Ответ на: комментарий от Pinkbyte

Насколько безопасный тогда такой конфиг?

cat /etc/firewall.sh 
#!/bin/sh

# Минимальные настройки скрипта
# Внешний интерфейс
IF_EXT="ppp250"
# Внутренний интерфейс
IF_INT="eth1"
# Локальная сеть
NET_INT="192.168.1.0/255.255.255.0"

# На всякий случай сбрасываем все правила
iptables -F
iptables -F -t nat
ip6tables -F
#ip6tables -F -t nat
# Устанавливаем политики по умолчанию:
# Никого не пускать
iptables -P INPUT DROP
# Всех выпускать
iptables -P OUTPUT ACCEPT
# Мимо нас никто не ходит
iptables -P FORWARD DROP

# Впускаем ответы на запросы, которые сами отправили
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Разрешаем весь трафик на внутреннем интерфейсе lo
iptables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT

# Разрешаем весь трафик со стороны локальной сети
iptables -A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT
ip6tables -A INPUT -i ${IF_INT} -j ACCEPT

# Разрешаем весь трафик, который необходим для работы PPTP-сервера
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

#Разрешим вход снаружи по заданным портам
iptables -A INPUT -p tcp -m multiport --dport 22,25,110,443,465,80 -j ACCEPT
# NAT для локальной сети на внешнем интерфейсе
iptables -t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
# Разрешаем пересылку пакетов из локальной сети наружу
iptables -A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
# Разрешаем пересылку в локальную сеть ответов на исходящие запросы
iptables -A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
#Закрываем все остальное на интерфейсе интернета
iptables -A INPUT -i ${IF_EXT} -j DROP
iptables -A FORWARD -i ${IF_EXT} -j DROP
#Открываем все для сети впн
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -o ${IF_INT} -j ACCEPT
iptables -A FORWARD -o ppp+ -i ${IF_INT} -j ACCEPT
iptables -A FORWARD -i ppp+ -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
iptables -A FORWARD -i ${IF_EXT} -o ppp+ -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
#Запускаем шейпер, чтоб резать скорость
/etc/shaper.sh
#Перезапускаем fail2ban, чтоб он добавил свои конфиги
/etc/init.d/fail2ban restart
Mifey
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.