Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

openvpn na jeden port 3389

https://www.debian.pl/viewtopic.php?t=19429

Strona 1 z 2

openvpn na jeden port 3389

: 21 lipca 2010, 11:23
autor: redgrist
Witajcie.
Może mnie ktoś naprowadzi, mam problem z takim ustawieniem regułek iptables aby po podłączeniu się do openvpin i otrzymaniu adresu 10.8.0.(1-254) móc połączyć się z maszyną pod IP 192.168.1.9 na porcie 3389 i nic więcej.
Tunel działa poprawnie, mogę zrobić dostęp do 192.168.1.0 lub tylko do maszyny ale nie jestem w stanie tak wklepać regułek aby ktoś z klasy 10.8.0.0 dał radę tylko łączyć się na porcie 3389. Może ma ktoś to wdrożone i poda regułki. Dziękuję.

: 21 lipca 2010, 11:57
autor: grzesiek
A jakie masz reguły dla sieci 10.8.0.0?

: 21 lipca 2010, 12:00
autor: redgrist
Wiesz co, mam dla 10.7.0.0 bo ona ma mieć dostęp do całej klasy 192.168.1.0, chciał bym jednak aby 10.8.0.0 miała tylko do 1 maszyny na 1 porcie nic ponad to.


10.7.0.0 ma tak i działa:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -d 192.168.1.0/24 -s 10.7.0.0/24 -j MASQUERADE
iptables -t filter -A FORWARD -d 192.168.1.0/24 -s 10.7.0.0/24 -j ACCEPT
iptables -t filter -A FORWARD -d 10.7.0.0/24 -s 192.168.1.0/24 -j ACCEPT

: 21 lipca 2010, 12:35
autor: grzesiek
Przetestuj to:

Kod: Zaznacz cały

iptables -t filter -A FORWARD -d 192.168.1.9 -s 10.8.0.0/24 -p tcp --dport 3389 -j ACCEPT

: 21 lipca 2010, 13:08
autor: redgrist
Czegoś jeszcze brakuje, routing jest ok, bo jak dodam:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -d 192.168.1.9 -s [url=http://10.8.0.0/24]10.8.0.0/24[/URL] -j MASQUERADE
To pinguje i działa ruch do tej maszyny, ale cały.
Samo dodanie twojej reguły nie pozwala nadal na połączenia do 1.9:3389

: 21 lipca 2010, 13:15
autor: grzesiek

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -d 192.168.1.9 -s [url=http://10.8.0.0/24]10.8.0.0/24[/URL]  -p tcp --dport 3389 -j MASQUERADE
Pamiętaj tylko, że na protokole TCP ping nie będzie działał.

: 21 lipca 2010, 13:18
autor: redgrist
I dzięki Ci wielkie, to jest to i działa prawidłowo. Pozdrawiam :)

: 29 lipca 2010, 11:12
autor: Cyphermen
ja się tylko zapytam, po co tam ta maskarada? :)

: 29 lipca 2010, 12:10
autor: redgrist
Bo inaczej nie działa? ;-)

: 29 lipca 2010, 12:17
autor: Cyphermen
Ale ja kiedyś to robiłem , zablokowałem cały ruch z jednego kompa do podsieci innej i nie potrzebowałem do tego maskarady :) dałem regułę odblokowującą port 3389 i działało.
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl