LINUX.ORG.RU
ФорумAdmin

iptables закрыть все из вне кроме openvpn


0

1

с iptables знаком пока не очень,сейчас так:

#!/bin/sh

# Удалить все правила из цепочки.

#=======================

iptables -F

iptables -X

iptables -t nat -F

#=======================

# Включить forward

#=======================

echo 1 > /proc/sys/net/ipv4/ip_forward

#=======================

#Добавим правило, для маскировки ip в цепочку POSTROUTING таблицы nat, #вместо eth0 необходимо писать Ваш интерфейс смотрящий в интернет

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 192.168.0.1..192.168.0.128 - через проксю

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/25 -d 0/0 -p tcp -m multiport --dport 23,25,110,80,8080 -j DNAT --to 192.168.0.1:3128

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/25 -d 0/0 -p udp -m multiport --dport 23,25,110,80,8080 -j DNAT --to 192.168.0.1:3128

#=======================

# Устанавливаем политику по умолчанию.

#=======================

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

Добавлял вместо

"

# Устанавливаем политику по умолчанию.

#=======================

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

"

это:

#открываем доступ к openvpn

iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 1194 -j ACCEPT

##блокируем весь остальной трафик

iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options

iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK,URG SYN -j REJECT --reject-with icmp-port-unreachable

iptables -A INPUT -i eth0 -p tcp -j DROP

iptables -A INPUT -i eth0 -p udp -j DROP

помогите разобраться

Я бы переделал бы все правила iptables по другому.. ну чтоб работало так как тебе хочится то достаточно после

 
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 1194 -j ACCEPT
добавить
iptables -A INPUT -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j DROP 
и будет тебе счастье ..

Tok ★★ ()

А удалённо разве не надо управлять? Openvpn по-дефолту UDP. Ну что за постановка задачи, это маршрутизатор? Сколько интерфейсов, вывод ip -4 a

anton_jugatsu ★★★★ ()
Ответ на: комментарий от Tok

# Разрешаем OpenVPN

iptables -A INPUT -p tcp -m state --state NEW --dport 1194 -j ACCEPT

iptables -A INPUT -p udp -m state --state NEW --dport 1194 -j ACCEPT

без udp опенвпн не подкл

JuriiK ()
Ответ на: комментарий от anton_jugatsu

задача иметь доступ ко всему только через впн

ip -4:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN inet 127.0.0.1/8 scope host lo

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 inet 10.241.48.153/24 brd 10.241.48.255 scope global eth0

3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1

8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 inet 192.168.160.1 peer 192.168.160.2/32 scope global tun0

JuriiK ()
Ответ на: комментарий от JuriiK
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i <где висит openvpn> -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
по аналогии другие интерфейсы, ты ж не указал схему, а вижу два приватных айпишника, из этих сетей тоже надо рулить, наверное
iptables -P INPUT DROP
anton_jugatsu ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.