Hello all, Am 2 retele legate in VPN (reteaA, reteaB). In Windows Network apar cele 2 retele, si totul decurge normal (politica de browsing, accesul la resurse, etc). In afara acestor 2 retele, mai apar si alte citeva grupuri cu care nu am legatura. Ele apar in Windows Network insa acestea nu sunt accesibile. Eu am filtre pentru IN, iar pentru OUT accept numai raspunsul la cererile initiate de pe hosturile din lan-urile mele. Topologia ar fi urmatoarea:
reteaA <-> RouterA >---- Internet ----< RouterB <-> ReteaB Pe fiecare router am cite 2 placi de retea si un tunel. Pe aceste routere, ruleaza cite o samba ca PDC (PDCA, PDCB) si este filtrat cam tot ce misca pe interfata externa si lasat liber tunelul si traficul pe interfata INTERNA. Din cauza ca "am vecini prea multi" se pare ca trebuie sa restrictionez un pic regulile de firewall si pe FORWARD.... Acum este filtrat INPUTUL, OUTPUTUL si FORWARD-ul pe interfata EXTERNA a routerelor dar tot pe FORWARD am ACCEPT pentru conexiunile ce se initiaza din lan-urile mele (reteaA si reteaB), ceva de genul: #default $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP #all traffic on vpn tunnel $IPTABLES -A INPUT -i tun0 -j ACCEPT $IPTABLES -A FORWARD -i tun0 -j ACCEPT $IPTABLES -A OUTPUT -o tun0 -j ACCEPT #permit established $IPTABLES -A INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A OUTPUT -m state --state ESTABLISHED -j ACCEPT #FORWAD $IPTABLES -A FORWARD -i $EXTDEV -j fw_$EXTDEV $IPTABLES -A FORWARD -i $INTDEV -j fw_$INTDEV #cred aici mai trebuie pus un stop, pentru ca permit iesirea din lan a tuturor pachetelor/cererilor de conexiune pe porturile de netbios... Nu sunt foarte sigur, ca nu stiu de unde Dumenezeu si de ce rasar retelele alea in lista mea de browsing..... Cred ca o regula care sa interzica --dport 135, 137:139 si 445 ar corecta problema. Ar fi corect ceva de genul: $IPTABLES -A fw_$INTDEV -s $INTNET --dport 135,137:139,445 -m state --state NEW -j REJECT ? $IPTABLES -A fw_$INTDEV -s $INTNET -m state --state NEW -j ACCEPT $IPTABLES -A fw_$EXTDEV -s ! $INTNET -m state --state RELATED -j ACCEPT $IPTABLES -A fw_$EXTDEV -m state --state NEW,INVALID -j REJECT #si un SNAT la final $IPTABLES -A POSTROUTING -t nat -o $EXTDEV -j SNAT --to-source $IP_EXTDEV Alx _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
