LINUX.ORG.RU
решено ФорумAdmin

Настройка iptables CentOS 6


0

2

Здравствуйте! Возникли трудности в настройке Iptables на сервере под CEntos 6 (сервер в качестве интернет шлюза без прокси, dhcp, samba, openvpn server). eth0 - смотрит в интернет tap0 - openvpn интерфейс 10.10.10.0/24 eth1 - смотрит в сеть

Цель сделать так что бы клиенты vpn сети не видели друг друга, разрешить, прокинуть им только 2 порта для обращения к серверу внутри сети и никуда более, при этом будет еще один клиент из этой же сети - админ, то есть я, и что бы при этом я мог обращаться ко всем клиентам vpn + во внутреннюю сеть за шлюзом для администрирования. Адреса vpn клиентов статические. Вот и вся проблема. Немогу предоставить свой конфиг iptables ибо я пробовал и так и сяк но никаких результатов не дало. Iptables'ом в совершенстве не владею и незнаю многих ньюансов поэтому обратился к вам. Буду рад любой помощи, советам, готовым конфигам (особенно рад).


Понимаешь друг, тут никто не будет для тебя писать с нуля iptables.
Покажи что ты сам сделал, и что у тебя при твоей конфигурации не работает.

dada ★★★★★ ()

понял...ну как сказать....я застопорился вот на этом:

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

далее я хочу разрешить входящее на eth0

iptables -A INPUT -i eth0 -j ACCEPT

при это vpn клиенты конектятся и видят друг другаа так же видят сервер. Теперь мне нужно запретить клиентам видеть друг друга но при этом что бы они видели только сервер, что бы я их пакеты мог дальше отправить на внутренний сервер. Писал к примеру так

iptables -A INPUT -i tap0 -j DROP

после этого пинги на сервер не идут, но клиенты все равно видят друг друга, тут я понял что они вертяться на eth0 поэтому и видят друг друга....незнаю как запретить это...что бы не видили друг друга, но при этом что бы один из клиентов (админ) видел всех... пробовал что то типо такого

iptables -A INPUT -i eth0 -s 10.10.10.0/24 -j DROP

но даже при этом они все равно видят друг друга...и по сути дальше немогу сдвинуться с места...

qunn ()

Ну даже можно поставить по другому вопрос....как можно запретить компам определенной подсети видеть друг друга...

qunn ()
Ответ на: комментарий от qunn

Так, вопрос сводится к «как запретить всем из 192.168.0.0 видеть всех 192.168.1.0» ?

dada ★★★★★ ()

Нет, запретить 192.168.1.0\24 видеть друг друга, например что бы 192.168.1.10, 192.168.1.11, 192.168.1.12 не видели друг друга, при этом что бы они все видели сервер 192.168.1.1 и что бы соответственно сервер видел их....короче говоря изолировать их друг от друга.

qunn ()

прочитал, но не понял к чему это? в предыдущем посте я имел ввиду сеть 192.168.1.0 с маской 255.255.255.0 и перечислил компьютеры с IP адресами которые хочу изолировать друг от друга....хоть убей не понял к чему ты это)))

qunn ()

так ну ладно....сделал немного проще, хотя не уверен что дальше моя задумка заработает...в openvpn серверном конфиге отключил client-to-client изолировав их друг от друга.....буду надеятся что дальше я смогу клиента-админа настроить перенаправления с сервера что бы он видел всех.....

а сейчас если я вас сильно еще не замучал буду рад помощи:

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

#iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.100.0/24 -p tcp -m multiport --dports 21,22,25,110,143,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.100.0/24 -p udp -m multiport --dports 53 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.100.0/24 -p tcp -m multiport --dports 53 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i eth0 -p ICMP -j ACCEPT

iptables -A INPUT -i tap0 -s 10.10.10.0/24 -j ACCEPT

вот сейчас такой конфиг....сервер не выходит и не пингует интернет, хотя у меня стоит правило OUTPUT - ACCEPT

qunn ()

спасибо за не активную помощь. Я все понимаю глупый, незнающий, не любитель читать мануалы, но все же мануалы читал, но проблемы с понимаем. Решил проблему совсем по другому и другим путем. Не все же умные как вы. Спасибо не скажу. Счастливо всем.

qunn ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.