iptables подключение к интернету и пуск клиентов через VPN

1

1

Добрый день, такая задача. К интернету подключение создается и поднимается интерфейс ppp911. Клиенты подключаются и получают вход в корпоративную сеть, но не видят друг друга. Как добавить строчки:

iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT

Но при этом, чтоб интерфейс ppp911 не попадал под них.

Ссылка

←	Апплеты в клиент банках

CurveCP, MinimaLT

→

Ограничьте адресными диапазонами - наверняка подсети VPN и локалки отличаются.

gserg ★★
(11.09.13 15:33:07 MSK)

Ответ на: комментарий от gserg 11.09.13 15:33:07 MSK

Так вот именно, что не отличаются, vpn и создана, чтоб пускать клиентов из вне в внутреннюю сеть.

Mifey
(11.09.13 15:53:32 MSK) автор топика

Ответ на: комментарий от Mifey 11.09.13 15:53:32 MSK

А что мешает запретить input,output и forward для интерфейса?

hbars ★★★★★
(11.09.13 15:57:44 MSK)

man ip

hbars ★★★★★
(11.09.13 15:58:19 MSK)

Ссылка

Ответ на: комментарий от hbars 11.09.13 15:57:44 MSK

Так запретить можно так, что и сам инет пропадет, вот и спрашиваю как сделать.

Mifey
(11.09.13 16:01:53 MSK) автор топика

Ответ на: комментарий от Mifey 11.09.13 16:01:53 MSK

Тупо напиши скрипт который будет все это разрешать после поднятия интерфейса.

hbars ★★★★★
(11.09.13 16:05:31 MSK)

Ответ на: комментарий от hbars 11.09.13 16:05:31 MSK

iptables не всегда может помочь.
В плане балансировки это факт.

hbars ★★★★★
(11.09.13 16:07:29 MSK)

Ответ на: комментарий от hbars 11.09.13 16:07:29 MSK

Скрипт есть, но он добавляет это для локальной сети, все работает, но впн-клиенты не видят друг друга, вот и хочу так дописать, но тогда правило подпадет и под ppp911, что не хорошо и не должно быть.

Mifey
(11.09.13 16:23:48 MSK) автор топика

Ответ на: комментарий от Mifey 11.09.13 16:23:48 MSK

Сделай --zero и заново их нарисуй как тебе нужно.
Поможет.

hbars ★★★★★
(11.09.13 16:30:07 MSK)
Последнее исправление: hbars 11.09.13 16:33:07 MSK (всего исправлений: 1)

Ссылка

iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp911 -j DROP
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT

Вместо DROP можешь заюзать что угодно

Pinkbyte ★★★★★
(13.09.13 14:48:36 MSK)

Ответ на: комментарий от Pinkbyte 13.09.13 14:48:36 MSK

Разве эта строчка не разрешит все входящие на интерфейсе ррр911?

iptables -A INPUT -i ppp+ -j ACCEPT

Может сначала закрыть все на нем?

#Закрываем все остальное на интерфейсе интернета                                
iptables -A INPUT -i ppp911 -j DROP                                               
iptables -A FORWARD -i ppp911 -j DROP                                             
#Открываем все для сети впн                                                     
iptables -A INPUT -i ppp+ -j ACCEPT                                             
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT

Или нужно как-то по-другому?

Mifey
(13.09.13 15:54:27 MSK) автор топика

Ответ на: комментарий от Mifey 13.09.13 15:54:27 MSK

Да, верно. Я думал тебе просто нужно только весь FORWARD там закрыть.

Pinkbyte ★★★★★
(13.09.13 15:55:43 MSK)

Ответ на: комментарий от Pinkbyte 13.09.13 15:55:43 MSK

Насколько безопасный тогда такой конфиг?

cat /etc/firewall.sh 
#!/bin/sh

# Минимальные настройки скрипта
# Внешний интерфейс
IF_EXT="ppp250"
# Внутренний интерфейс
IF_INT="eth1"
# Локальная сеть
NET_INT="192.168.1.0/255.255.255.0"

# На всякий случай сбрасываем все правила
iptables -F
iptables -F -t nat
ip6tables -F
#ip6tables -F -t nat
# Устанавливаем политики по умолчанию:
# Никого не пускать
iptables -P INPUT DROP
# Всех выпускать
iptables -P OUTPUT ACCEPT
# Мимо нас никто не ходит
iptables -P FORWARD DROP

# Впускаем ответы на запросы, которые сами отправили
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Разрешаем весь трафик на внутреннем интерфейсе lo
iptables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT

# Разрешаем весь трафик со стороны локальной сети
iptables -A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT
ip6tables -A INPUT -i ${IF_INT} -j ACCEPT

# Разрешаем весь трафик, который необходим для работы PPTP-сервера
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

#Разрешим вход снаружи по заданным портам
iptables -A INPUT -p tcp -m multiport --dport 22,25,110,443,465,80 -j ACCEPT
# NAT для локальной сети на внешнем интерфейсе
iptables -t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
# Разрешаем пересылку пакетов из локальной сети наружу
iptables -A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
# Разрешаем пересылку в локальную сеть ответов на исходящие запросы
iptables -A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
#Закрываем все остальное на интерфейсе интернета
iptables -A INPUT -i ${IF_EXT} -j DROP
iptables -A FORWARD -i ${IF_EXT} -j DROP
#Открываем все для сети впн
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -o ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -o ${IF_INT} -j ACCEPT
iptables -A FORWARD -o ppp+ -i ${IF_INT} -j ACCEPT
iptables -A FORWARD -i ppp+ -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
iptables -A FORWARD -i ${IF_EXT} -o ppp+ -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
#Запускаем шейпер, чтоб резать скорость
/etc/shaper.sh
#Перезапускаем fail2ban, чтоб он добавил свои конфиги
/etc/init.d/fail2ban restart

Mifey
(13.09.13 16:12:55 MSK) автор топика