OpenVPN фильтрация трафика между клиентами

1

1

добрый день! Есть сервер к которому ципляються клиенты нужно чтоб трафик между клиентами был доступен тока по некоторым портам! Я так понимаю если выставлять опцию «клиент-ту-клиент». То трафик не доходит до ядра, он обрабатывается тока внутри openvpn. Можно ли как то сделать фильтрацию трафика? Или тока если поднимать для каждого клиента новый процесс?

Ссылка

←	Установка зависимостей пакета без установки самого пакета.

iptables + vlan - как фильтровать пакеты с vlan?

→

При включенном client-to-client траффик не доходит до ядра, с включенным можно фильтровать через цепочку FORWARD.

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.180.0.4 -d 10.180.0.11 -j ACCEPT
iptables -A FORWARD -s 10.180.0.11 -d 10.180.0.4 -j ACCEPT
iptables -A FORWARD -j DROP

hidden_4003 ★
(02.12.12 14:47:32 MSK)

Ответ на: комментарий от hidden_4003 02.12.12 14:47:32 MSK

Делаю дроп в форвард и се равно пингуеться клиент

mannaz2004 ★
(02.12.12 14:55:29 MSK) автор топика

Ответ на: комментарий от mannaz2004 02.12.12 14:55:29 MSK

Это работает только когда openvpn запущен в routed mode, если вы используете bridged mode то вам нужно использовать контроль доступа встроенный в openvpn.

hidden_4003 ★
(02.12.12 15:05:33 MSK)

Ответ на: комментарий от hidden_4003 02.12.12 15:05:33 MSK

ну так он у меня и запущен в routed mode dev tun10

вроде оно

mannaz2004 ★
(02.12.12 15:09:59 MSK) автор топика

Ссылка

Ответ на: комментарий от hidden_4003 02.12.12 15:05:33 MSK

Вобщем не работает! что та пошло не так

mannaz2004 ★
(02.12.12 15:27:12 MSK) автор топика

Ссылка

Ответ на: комментарий от hidden_4003 02.12.12 14:47:32 MSK

Если честно то я сомниваюс. Что те правила что та смогут решить. Ведь пакеты не попадают в ядро. А как мы знаем что notables это всеволишь средство для управления ядром . Или я ошибаюсь. ?.. поправите если я не прав

mannaz2004 ★
(02.12.12 17:21:22 MSK) автор топика

Ответ на: комментарий от mannaz2004 02.12.12 17:21:22 MSK

Если запустить:

tcpdump -v -n -i tun0

и запустить пинг между клиентами, то будет видно что пакеты повторяются 2 раза и у них уменьшется TTL что свидетельствует об их прохождении через ядро.

hidden_4003 ★
(02.12.12 17:25:27 MSK)

Ответ на: комментарий от hidden_4003 02.12.12 17:25:27 MSK

Это сейчас случай с каким значением опции client-to-client рассматривается?

mky ★★★★★
(02.12.12 22:24:41 MSK)

Ответ на: комментарий от mky 02.12.12 22:24:41 MSK

ЭЭЭЭ А какие бывают?

mannaz2004 ★
(03.12.12 02:00:27 MSK) автор топика

Ссылка

Ответ на: комментарий от hidden_4003 02.12.12 17:25:27 MSK

Проста я удивлён! Я пробывал так

tcpdump -i tun10 -n -nn -ttt 'ip proto \icmp'

И не чего там не видел и близко!

mannaz2004 ★
(03.12.12 06:12:29 MSK) автор топика

Ссылка

Всё проблема решена! Всё оказалось проще чем казалось

mannaz2004 ★
(03.12.12 12:44:05 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Установка зависимостей пакета без установки самого пакета.

Admin

iptables + vlan - как фильтровать пакеты с vlan?

→

Похожие темы