Forum » Omrežja in internet » iptables
iptables
poweroff ::
V VPN omrežju imam več naprav, vsaka ima svoj IP v rangu 10.10.7.0/24.
Rad bi onemogočil dostop do 10.10.7.111 iz vseh, razen iz 10.10.7.9.
Za začetek hočem enostavno dropniti vse kar leti na 10.10.7.111:
Ampak ne dela. Oziroma dela še kar naprej.
Rad bi onemogočil dostop do 10.10.7.111 iz vseh, razen iz 10.10.7.9.
Za začetek hočem enostavno dropniti vse kar leti na 10.10.7.111:
iptables -A FORWARD -i tun0 -s 10.10.7.0/24 -d 10.10.7.111 -j DROP
Ampak ne dela. Oziroma dela še kar naprej.
sudo poweroff
secops ::
To konfiguriraš na napravi, kjer zaključuješ VPN tunel ?
Ali lahko pokažeš screenshote cele filter tabele?
Na slepo ugibanje bi bilo, da s tem pravilom ne zadaneš prometa in ga čez spusti default politika. Ali pa imaš pred tem pravilom nekaj, kar spusti promet čez.
Ali lahko pokažeš screenshote cele filter tabele?
Na slepo ugibanje bi bilo, da s tem pravilom ne zadaneš prometa in ga čez spusti default politika. Ali pa imaš pred tem pravilom nekaj, kar spusti promet čez.
Zgodovina sprememb…
- spremenilo: secops ()
poweroff ::
To je na VPN serverju, da.
Sem dal tudi -I, pa je isto:
Sem dal tudi -I, pa je isto:
iptables -I FORWARD -i tun0 -s 10.10.7.0/24 -d 10.10.7.111 -j DROP
sudo poweroff
poweroff ::
#!/bin/sh iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD # Osnovne privzete nastavitve iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Dovoli vse povezave na loopback napravo iptables -A INPUT -i lo -j ACCEPT # Ohrani obstojece povezave iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Dovoli dohodni ICMP promet iptables -A INPUT -p icmp -j ACCEPT # Dovoli vse dohodne DNS zahtevke (port 53) od znotraj iptables -A INPUT -i tun0 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -i tun0 -p udp --dport 53 -j ACCEPT # Dovoli vse dohodne http, https/openvpn TCP povezave (porti 22T, 80T, 443T) od zunaj iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Dovoli ves TCP dohodni promet iz celotnega internega VPN omrezja iptables -A INPUT -p tcp -s 10.10.7.0/24 -j ACCEPT # Posredovanje prometa iz VPN v internet iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i tun0 -j ACCEPT iptables -t nat -F POSTROUTING iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE
Še to, gre za OpenVPN strežnik.
sudo poweroff
Zgodovina sprememb…
- spremenilo: poweroff ()
poweroff ::
Ja, tukaj ne. To je skripta, ki se zažene ko se postavi network.
Potem pa poženem v konzoli tisti ukaz iz 1. posta.
Potem pa poženem v konzoli tisti ukaz iz 1. posta.
sudo poweroff
rokp ::
Sicer kaj dosti izkusenj nimam, ampak, a imas client-to-client vklopljen ali ne? Naceloma, kolikor sem na hitro prebral, naj bi imel izklopljeno, da se ti obnasa kot router-on-a-stick in ti iptables sploh prime...
https://backreference.org/2010/05/02/co...
https://backreference.org/2010/05/02/co...
poweroff ::
Client to client je po moje vkljopljen, ker se mašinotraj VPN vidijo med sabo.
sudo poweroff
rokp ::
A je kdo prebral tisti link, ki sem ga prej prilepil? A ne pise tam, da ce je client-to-client vklopljen, potem do iptables promet sploh ne pride, ker openvpn pohandla to interno... No saj, mogoce pa poskusis dati se nekam na sredino ali pa na konec, kaj pa vem... ;)
c3p0 ::
Kot je napisal. Načeloma si pa pomagaš s kakim tcpdump in hitro vidiš kateri paketi sploh pridejo na kateri interface, oz. če sploh ne pridejo.
Sindrom ::
Kaj pa za foro:
iptables -t raw -I PREROUTING -i tun0 -s 10.10.7.0/24 -d 10.10.7.111 -j DROP
iptables -t raw -I PREROUTING -i tun0 -s 10.10.7.0/24 -d 10.10.7.111 -j DROP
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Instalacija UDPxy na DD-WRTOddelek: Operacijski sistemi | 10295 (3714) | bimmer-mb |
| » | iptables problemOddelek: Operacijski sistemi | 2226 (1992) | poweroff |
| » | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2232 (2054) | SasoS |
| » | iptables problem z SSHOddelek: Omrežja in internet | 1902 (1756) | sverde21 |
| » | pomoč pri iptablesOddelek: Omrežja in internet | 2592 (2421) | HellRaiseR |