LINUX.ORG.RU
решено ФорумAdmin

Порезать форвардинг VPN

 , , ,


1

1

Доброй ночи.

Есть openvpn сервер, форвардинг включен. Для некоторых клиентов хочется порезать доступ, а именно чтобы у них не было доступа ко всем клиентам кроме указанных.

Изначально идея решения была следующая: с помощью iptables дропнуть все, что приходит с IP клиента (в сети VPN), а затем разрешить пакеты от этого IP клиента только для некоторых destination.

Ничего не получилось. Удалось фильтрануть только трафик от клиента к серверу, а все остальное форвардится абсолютно игнорируя подобные правила. Решил разобраться и начал снифить.

tcpdump -i tap0 src <client-ip-in-vpn-network>

Как я понял, все пакеты, которые форвардятся сервером и направляются к другим клиентам VPN сети, в src имеют адрес не tap-интерфейса, а видимо инкапсулируются через eth-пакеты (в src имеют IP адрес, который на eth).

Если так оно и есть, возникает вопрос: а как же мне отследить пакеты которые отправляются с определенного адреса VPN сети к другим клиентам (зная только адрес клиента в VPN сети)? Ну и с помощью фаервола резануть форвардинг.

★★★

Изначально идея решения была следующая: с помощью iptables дропнуть все, что приходит с IP клиента (в сети VPN), а затем разрешить пакеты от этого IP клиента только для некоторых destination.

А надо наоборот.

И рулить надо не тем, что приходит, а тем, что проходит, то есть цепочкой FORWARD.

ansky ★★★★★
()
Ответ на: комментарий от ansky

И рулить надо не тем, что приходит, а тем, что проходит, то есть цепочкой FORWARD.

Пробовал разные варианты INPUT/OUTPUT/FORWARD. Проблема в том, что при форвардинге пакеты приходят не с VPNовского айпишника. Я не могу их отфильтровать.

А вообще, alozovskoy дело говорит. Вроде это логичное решение.

observer ★★★
() автор топика
Ответ на: комментарий от alozovskoy

Спасибо.

P.S. При чем тут Debian??

По привычке ночью поставил. Иногда дистрибутив имеет значение.

observer ★★★
() автор топика
Ответ на: комментарий от ktulhu666

Чем закончилось то?

Не делал еще, но пока не вижу возможных проблем если я клиентов разделю на разные подсети. Некоторых клиентов подключу к двум сетям, если в этом будет необходимость.

observer ★★★
() автор топика
Ответ на: комментарий от ktulhu666

Защита от подмены IP клиентами уже продумана, надеюсь? :))

У меня по VPNу расдаются только статические адреса. Одним ключем можно получить только конкретный айпишник.

observer ★★★
() автор топика
Ответ на: комментарий от observer

Иначе говоря: если клиент самостоятельно изменит свой IP в твоей сети он не станет маршрутизироваться, верно?

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Иначе говоря: если клиент самостоятельно изменит свой IP в твоей сети он не станет маршрутизироваться, верно?

Да. Он даже не сможет подключиться к серверу именно через VPN.

observer ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.