WireGuard ограничение доступа к некоторым ip-адресам

0

2

Приветствую, коллеги. Развернул WireGuard на Ubuntu 22.04 через PiVPN. Имеется рабочая подсеть 10.130.20.0/25. Необходимо клиентам VPN запретить доступ на сервера, которые находятся в диапазоне 10.130.20.2-10.130.20.7. Вопрос: как это сделать?

←	Fstab и AD

Не получается подключить одну вм на ubuntu с другой на centos

→

nftables

/thread

eternal_sorrow ★★★★★
(12.04.23 17:42:53 MSK)

Ответ на: комментарий от eternal_sorrow 12.04.23 17:42:53 MSK

Благодарю. А можно пример настройки?

Max8885
(12.04.23 19:04:42 MSK) автор топика

можно конечно нахимичить напрямую с iptables/nftables, но зачем, если ты не сетевик? Берешь любой фаервол и блочишь.

$ sudo ufw deny in on <interface> to <range>

для ufw например это как-то так делается.

Lrrr ★★★★★
(12.04.23 19:25:34 MSK)
Последнее исправление: Lrrr 12.04.23 19:25:54 MSK (всего исправлений: 1)

Ответ на: комментарий от Lrrr 12.04.23 19:25:34 MSK

iptables это и есть файрволл

firkax ★★★★★
(12.04.23 19:32:03 MSK)

Ответ на: комментарий от firkax 12.04.23 19:32:03 MSK

Да, только iptables не нужен когда есть nftables.

eternal_sorrow ★★★★★
(12.04.23 20:20:00 MSK)

Ответ на: комментарий от Max8885 12.04.23 19:04:42 MSK

https://wiki.nftables.org/wiki-nftables/index.php/Main_Page

Огромное количество примеров самых разных настроек.

eternal_sorrow ★★★★★
(12.04.23 20:21:06 MSK)

Ответ на: комментарий от eternal_sorrow 12.04.23 20:21:06 MSK

ни одной по существу заданного вопроса не нашел

Max8885
(12.04.23 20:37:00 MSK) автор топика

Ответ на: комментарий от Max8885 12.04.23 20:37:00 MSK

Плохо искал. RTFM.

eternal_sorrow ★★★★★
(12.04.23 20:45:31 MSK)

Ответ на: комментарий от eternal_sorrow 12.04.23 20:45:31 MSK

Где именно?

Max8885
(12.04.23 21:11:58 MSK) автор топика

Ответ на: комментарий от Max8885 12.04.23 21:11:58 MSK

Что тебе непонятно в аббривеатуре RTFM? Или ты изучаешь как настроить фаервол самостоятельно или платишь деньги и умные люди настраивают за тебя. Третьего не дано.

eternal_sorrow ★★★★★
(12.04.23 22:28:39 MSK)
Последнее исправление: eternal_sorrow 12.04.23 22:28:58 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 12.04.23 19:32:03 MSK

iptables, nftables и т.д. - это юзерспейсные конфигурялки для фаервола, который сидит в ядре. И в данном конкретном случае нет никаких причин дергать их напрямую.

Иди учи линукс, чудик)) Вместе с пятизвездочным ртфмщиком

Lrrr ★★★★★
(13.04.23 04:44:29 MSK)

Ответ на: комментарий от eternal_sorrow 12.04.23 22:28:39 MSK

Если Вам нечего сказать по существу заданного вопроса, прошу воздержаться от комментариев. Я попросил реальный пример настройки по ограничению доступа к определенным ip-адресам для клиентов VPN.

Max8885
(13.04.23 05:20:11 MSK) автор топика

Ответ на: комментарий от Max8885 13.04.23 05:20:11 MSK

Я попросил реальный пример настройки по ограничению доступа к определенным ip-адресам для клиентов VPN.

За вас ещё есть не требуете?

anc ★★★★★
(13.04.23 07:50:28 MSK)

Ответ на: комментарий от Max8885 13.04.23 05:20:11 MSK

брочел, но ведь они правы. Это на изи гуглиться. Либо попердолиться с настройками разрешённых сетей либо повтыкать в фаервол

SpaceRanger ★★
(13.04.23 07:53:07 MSK)

Ответ на: комментарий от Max8885 13.04.23 05:20:11 MSK

Я попросил реальный пример настройки по ограничению доступа к определенным ip-адресам для клиентов VPN.

iptables -A FORWARD -s клиент(или подсеть), которым нельзя -d адрес(или подсеть),на который нельзя -j DROP

можно, вероятно, для более точного совпадения добавить интерфейс. можно, вероятно, переписать это на nft

mgdz
(13.04.23 07:56:41 MSK)

Необходимо клиентам VPN запретить доступ на сервера, которые находятся в диапазоне 10.130.20.2-10.130.20.7. Вопрос: как это сделать?

Почитал обсуждение и понял, что решать надо административно. Издать указ о запрете ходить в тот диапазон, всем довести под роспись

zolden ★★★★★
(13.04.23 08:28:22 MSK)

Ответ на: комментарий от zolden 13.04.23 08:28:22 MSK

Указ указом, а если в клиентский ноут откуда либо прилетит троян с шифровальщиком на борту (флешка, почта и т.п.), который запечатает сервера, то указ тут не поможет.

Max8885
(13.04.23 09:44:36 MSK) автор топика

Ответ на: комментарий от Max8885 13.04.23 09:44:36 MSK

А зачем, простите, нужны такие сервера в общей сети с клиентами, к которым клиентам нельзя обращаться? может быть это пахнет XY проблемой, и стоит не клиентов от серверов изолировать, а на серверах политики доступа настраивать? Или кого-то из взрослых позвать, простите, кто сможет вам архитектуру вашей сети грамотно спроектировать.

mgdz
(13.04.23 09:52:38 MSK)

Ответ на: комментарий от Max8885 13.04.23 05:20:11 MSK

прошу воздержаться от комментариев

Нет.

eternal_sorrow ★★★★★
(13.04.23 10:57:38 MSK)

Ответ на: комментарий от Lrrr 13.04.23 04:44:29 MSK

И в данном конкретном случае нет никаких причин дергать их напрямую.

Есть.

eternal_sorrow ★★★★★
(13.04.23 10:58:45 MSK)

Ответ на: комментарий от mgdz 13.04.23 09:52:38 MSK

Сервера должны быть доступны для АРМ непосредственно в локальной сети предприятия (статичных рабочих мест), клиентам VPN, которым нужен удаленный доступ только к своим рабочим ПК, доступ к северу ни к чему…

Max8885
(13.04.23 14:19:39 MSK) автор топика

Ответ на: комментарий от Max8885 13.04.23 14:19:39 MSK

только к своим рабочим ПК

в таком случае, каждому роадварриору выдается конкретный фиксированный ip, трафик с которого разрешается до конкретного фиксированного ПК, например.

Да и вообще, если

в клиентский ноут откуда либо прилетит троян с шифровальщиком на борту (флешка, почта и т.п.), который запечатает

пользовательский ПК, который, в свою очередь

запечатает

какой-то из серверов - решение «запретить роадварриорам ходить на сервера» не сработает. инфобез - он немножечко сложнее, чем запретить и непущщать. Особенно, если весь инфобез это «поднял непонятный пайвипиен, хз как оно работает, но надо чтоб подругому»

mgdz
(13.04.23 14:27:35 MSK)

Ответ на: комментарий от mgdz 13.04.23 14:27:35 MSK

На клиентских ПК входящий доступ только по порту Radmin (4899), остальное закрыто. Учетка радмина, под которой подключаются юзеры, имеет ограниченные права. Засим описываемое Вами действие не требуется, хотя по уму согласен с Вами.

Max8885
(13.04.23 16:43:24 MSK) автор топика

Ответ на: комментарий от Max8885 13.04.23 16:43:24 MSK

В общем, разобрался с правилами iptables, правда не до конца. Указал следующее:

iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 10.130.20.10/25 -i wg0 -p tcp -j ACCEPT
iptables -A FORWARD -d 10.130.20.6/25 -i wg0 -p tcp -m multiport --dports 53,389 -j ACCEPT
iptables-save >/etc/iptables/rules.v4

Ограничения работают, но при таком раскладе у клиентов VPN перестает работать интернет. Подскажите, какую запись добавить, чтобы был интернет?

Max8885
(19.04.23 15:03:50 MSK) автор топика

Ответ на: комментарий от zolden 13.04.23 08:28:22 MSK

Вообще не вариант, тс не может с куда более простой задачей справится, а в вашем варианте без снифера никак.

anc ★★★★★
(20.04.23 12:13:03 MSK)

←	Fstab и AD

Admin

Не получается подключить одну вм на ubuntu с другой на centos

→

Похожие темы