LINUX.ORG.RU

Сообщения LiveInno

 

Centos iptables

Форум — General

Подскажите. Centos 7, настроил vpn сервер. Принимает локальных виндовозных клиентов по udp 7777, ip подсеть vpn 10.8.8.0 Клиенты подключаются, выходят в инет все ок.

Понадобилось чтобы трафик клиентов шел еще через один vpn сервер.

В Centos 7 ввел

openvpn --config my.ovpn
Все подключилось, Centos выходит в инет через vpn.(p.s подсеть 10.8.0.0)

Проверяю:

curl 2ip.ru
Все отлично ip vpn сервера. все ок

Теперь последовательно:

service openvpn@server stop
openvpn --config my.ovpn
curl 2ip.ru
service openvpn@server start
service openvpn@server status
(все ок)

На виндовозных клиентах пытаюсь подключится к Centos 7 по vpn и после долгих попыток ничего не получается.

iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:7777

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  10.8.8.0/24          0.0.0.0/0  #винда         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.8.8.0/24          0.0.0.0/0  #винда

Вопрос, что нужно сделать чтобы связка "винда -vpn- Centos 7 -vpn- Vpn server заработала? Я банально не понимаю почему клиенты не коннектятся?

netstat -ntlup | grep vpn
udp        0      0 0.0.0.0:7777           0.0.0.0:*    #винда                       2779/openvpn        
udp        0      0 0.0.0.0:40502           0.0.0.0:*                           2596/openvpn 

Причем если отключиться от vpn сервера, то виндовозные клиенты могут коннектится

Маршруты в простое:

route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1      0.0.0.0         UG    100    0        0 enp0s3 #локальный инет шлюз
10.8.8.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0  #винда
192.168.1.0      0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
Адаптеры:
ifconfig
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.5  netmask 255.255.255.0  broadcast 192.168.1.255  #локальный инет 
        inet6 fe80::a70:27ff:fe47:8446  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:47:84:46  txqueuelen 1000  (Ethernet)
        RX packets 327  bytes 23926 (23.3 KiB)
        RX errors 0  dropped 14  overruns 0  frame 0
        TX packets 45  bytes 4275 (4.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.8.1  netmask 255.255.255.0  destination 10.8.8.1  #винда
        inet6 fe80::b31c:87dd:b549:ce87  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3  bytes 144 (144.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Адаптеры после подключения Centos 7 к vpn серверу:

ifconfig
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.5  netmask 255.255.255.0  broadcast 192.168.1.255  #локальный инет 
        inet6 fe80::a00:27ff:fe47:8446  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:47:84:46  txqueuelen 1000  (Ethernet)
        RX packets 1162  bytes 85842 (83.8 KiB)
        RX errors 0  dropped 14  overruns 0  frame 0
        TX packets 126  bytes 16073 (15.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.8.1  netmask 255.255.255.0  destination 10.8.8.1   #винда
        inet6 fe80::b31c:834d:b549:ce87  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3  bytes 144 (144.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun1: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.8  netmask 255.255.255.0  destination 10.8.0.8  #подключение к vpn серверу в инете 
        inet6 fe80::afe4:343d:3a1b:3655  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 23  bytes 1814 (1.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 28  bytes 1978 (1.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Маршруты после подключения Centos 7 к vpn серверу:

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface                                                
0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun1   #подключение к vpn серверу в инете                                               
0.0.0.0         192.168.1.1      0.0.0.0         UG    100    0        0 enp0s3  #локальный инет                                        
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun1    #подключение к vpn серверу в инете                                               
10.8.8.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0  #винда
192.168.1.0      0.0.0.0         255.255.255.0   U     100    0        0 enp0s3  #локальный инет
55.10.140.61    192.168.1.1      255.255.255.255 UGH   0      0        0 enp0s3  #ip адрес vpn сервера в инете
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun1   #локальный ip адрес vpn сервера в инете

p.s если есть howto пошагово, скиньте пож-та , будет быстрее сделать по гайду

 , ,

LiveInno
()

Knockd не выполняет команду

Форум — General

Доброго времени суток Есть замечательный проект http://www.zeroflux.org/projects/knock, призван открывать 22 порт и закрывать(или выполнять что то другое), постучавшись на определенные порты. Установил, настроил, но что то не хочет работать.

Конфиг /etc/knockd.conf:

[options]
        logfile = /var/log/knockd.log

  [openSSH]
        sequence    = 7000,8000,9000
        seq_timeout = 10
        tcpflags    = syn
        command     = /usr/sbin/iptables -A INPUT -s 5.5.5.5 -p tcp --dport 22 -j ACCEPT

  [closeSSH]
        sequence    = 9000,8000,7000
        seq_timeout = 10
        tcpflags    = syn
        command     = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Логи /var/log/knockd.log:

[2017-07-02 21:16] starting up, listening on eth0
[2017-07-02 21:40] waiting for child processes...
[2017-07-02 21:40] shutting down
[2017-07-02 21:40] starting up, listening on eth0
[2017-07-02 21:42] waiting for child processes...
[2017-07-02 21:42] shutting down
[2017-07-02 21:42] starting up, listening on eth0
[2017-07-02 21:47] waiting for child processes...
[2017-07-02 21:47] shutting down
[2017-07-02 21:47] starting up, listening on eth0
[2017-07-02 21:49] waiting for child processes...
[2017-07-02 21:49] shutting down
[2017-07-02 21:49] waiting for child processes...
[2017-07-02 21:49] shutting down
[2017-07-02 21:50] starting up, listening on eth0

В терминале набираю:

knock -v my-server-ip 7000 8000 9000
hitting tcp my-server-ip:7000
hitting tcp my-server-ip:8000
hitting tcp my-server-ip:9000

После этого как бэ должно в iptables появится новое правило -s 5.5.5.5 -p tcp --dport 22 -j ACCEPT, но там ничего не появляется. Если посто в терминале ввести правило то появляется. Пробовал флаги менять на fin|syn|rst|psh|ack|urg не помогло.

Политика iptables INPUT ACCEPT если это важно.

service knockd status
● knockd.service - Port-Knock Daemon
   Loaded: loaded (/lib/systemd/system/knockd.service; static; vendor preset: disabled)
   Active: active (running) since Sun 2017-07-02 21:16:27 MSK; 24min ago
     Docs: man:knockd(1)
 Main PID: 4020 (knockd)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/knockd.service
           └─4020 /usr/sbin/knockd

Что я делаю не так? Почему не хочет работать(

 ,

LiveInno
()

RSS подписка на новые темы