Re: iptables + openvpn
Kurcze ale fajnie bardzo dziękuję za pomoc a teraz odnośnie twoich sugestii Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany wewnętrznym ip mogli podłączyć się terminalami. Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap, wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do okreslonych protokolow i portow. Bardzo dzięki ;) Wszelkie inne sugestie są będą bardzo mile widziane. poniżej konfig mojego firewalla iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT Zakladam, ze eth0 to int_if, a eth1 to ext_if Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem. Wyrzucilbym tu regule 2 w FORWARD. Tego nie rozumiem ??? "regule 2 w FORWARD" - przepraszam jeśli to trywialne pytanie.acha już rozumiem ...znaczy wywaliłbyś drugą regułę a połączenie przychodzące kontrolowałbyś za pomocą state ESTABILISHED i RELATED iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE tu bym raczej nie maskowal pakietow do sieci vpn iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d ! siec_vpn -j MASQUERADE A tak się zastanawiałem do czego praktycznie użyć tego "!" teraz już wiem. To takie oczywiste "!" działa jak inwersja czyli "NOT". Czyli twoja sugestia wyłącza maskaradę dla sieci VPN (ale się głupi cieszę jak dziecko :) #--poczatek sekcji openvpn iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT co mobilni beda szukac na routerze? Zamysł był taki żebym mógł zdalnie po vpn-ie admnistrować samym routerem. Ale fakt faktem te regułki zerżnałem z openvpn FAQ :) Faktycznie bez konieczności podłączania się do samego routera chyba zasugerowany poniżej FORWARD wystarczyłby. Czy miałbyś jakieś inne sugestie co do zdalnej administracji bez potrzeby zestawiania VPN-a. Jestem otwarty na sugestieuczę się :) iptables -A FORWARD -i tun+ -j ACCEPT a teraz ruch w druga strone: iptables -A FORWARD -o tun+ -j ACCEPT lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z Internetu, jak i z sieci vpn) iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Pozdrawiam Bohdan Raz jeszcze bardzo dziękuję za pomoc Pozdrawiam i miłego dnia Maciej -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: iptables + openvpn
Witam, Przepraszam ale pisałem tu pierwszy raz - postaram się poprawić :) Pozdrawiam Maciej Jaroslaw Bylina napisał(a): = Dnia: piątek, 19 stycznia 2007 21:54, Maciej Kóska pisze: [ciach] Czemu wysyłasz listy w HTML-u? pzdr, jmb -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: iptables + openvpn
Maciej Kóska wrote: > Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. > Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy > podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany > wewnętrznym ip mogli podłączyć się terminalami. Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap, wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do okreslonych protokolow i portow. > Wszelkie inne sugestie są będą bardzo mile widziane. > poniżej konfig mojego firewalla > > iptables -F > iptables -F -t nat > iptables -X -t nat > iptables -F -t filter > iptables -X -t filter > > iptables -P FORWARD DROP > iptables -P INPUT DROP > iptables -P OUTPUT ACCEPT > > echo "1" > /proc/sys/net/ipv4/ip_forward > iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 > -j ACCEPT > iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 > -j ACCEPT Zakladam, ze eth0 to int_if, a eth1 to ext_if Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem. Wyrzucilbym tu regule 2 w FORWARD. > iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j > MASQUERADE tu bym raczej nie maskowal pakietow do sieci vpn iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d ! siec_vpn -j MASQUERADE > #--poczatek sekcji openvpn > > iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT > iptables -A INPUT -i tun+ -j ACCEPT co mobilni beda szukac na routerze? > iptables -A FORWARD -i tun+ -j ACCEPT a teraz ruch w druga strone: iptables -A FORWARD -o tun+ -j ACCEPT lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z Internetu, jak i z sieci vpn) iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Pozdrawiam Bohdan -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: iptables + openvpn
= Dnia: piątek, 19 stycznia 2007 21:54, Maciej Kóska pisze: > > > > > > > [ciach] > > Czemu wysyłasz listy w HTML-u? pzdr, jmb -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables + openvpn
Witam wszystkich, Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany wewnętrznym ip mogli podłączyć się terminalami. Z openvpn nie mam problemu. Klienci łączą się ok. Problem tkwi w tym że przy obecnej konfiguracji mojego firewalla podłączające się przez vpn komputery nie mogą zapingowac innych maszyn w sieci poza samym routerem i podłączyć się do niego przez SSH na porcie 22 - tyle wiem że zrobiłem :). Ponieważ dopiero zaczynam z iptables wiem że gdzieś w konfiguracji firewalla leży problem - tzn nie umiem sobie za bardzo zrobic przekierowania, zastanawia mnie tez fakt nie moznosci pingowania innych maszyn w sieci po podłączeniu sie VPNem Obecnie zeleżało by mi na tym żeby można było podłączyć się na port tcp 3389 z komputerów które łączą sie na intefejsie tun (wirtualny intefejs openvpn) do routera na ip wew 192.168.0.2 oraz żeby się dało pingowac inne kompy w sieci Wszelkie inne sugestie są będą bardzo mile widziane. Bardzo dziękuję za pomoc Pozrawiam Maciej poniżej konfig mojego firewalla iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state NEW -d 192.168.0.1 --dport 22 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #--poczatek sekcji openvpn iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT #koniec sekcji openvpn -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables + openvpn
Witam wszystkich, Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany wewnętrznym ip mogli podłączyć się terminalami. Z openvpn nie mam problemu. Klienci łączą się ok. Problem tkwi w tym że przy obecnej konfiguracji mojego firewalla podłączające się przez vpn komputery nie mogą zapingowac innych maszyn w sieci poza samym routerem i podłączyć się do niego przez SSH na porcie 22 - tyle wiem że zrobiłem :). Ponieważ dopiero zaczynam z iptables wiem że gdzieś w konfiguracji firewalla leży problem - tzn nie umiem sobie za bardzo zrobic przekierowania, zastanawia mnie tez fakt nie moznosci pingowania innych maszyn w sieci po podłączeniu sie VPNem Obecnie zeleżało by mi na tym żeby można było podłączyć się na port tcp 3389 z komputerów które łączą sie na intefejsie tun (wirtualny intefejs openvpn) do routera na ip wew 192.168.0.2 oraz żeby się dało pingowac inne kompy w sieci Wszelkie inne sugestie są będą bardzo mile widziane. Bardzo dziękuję za pomoc Pozrawiam Maciej poniżej konfig mojego firewalla iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state NEW -d 192.168.0.1 --dport 22 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #--poczatek sekcji openvpn iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT #koniec sekcji openvpn -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
