Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Shorewall

https://www.debian.pl/viewtopic.php?t=30867

Strona 1 z 1

Shorewall

: 23 maja 2014, 23:00
autor: Przem4S
Witam,

Mam problem ze swoim serwerkiem, odnośnie zapory.
Zacznijmy od tego że serwer to VPS na OpenVZ, z postawionym przeze mnie OpenVPN'em.

Problem polega na tym że, zdefiniowane reguły shorewalla dla np. pinga, nie działają lub jest jakiś konflikt konfiguracji.

Z założenia, serwer wszystko blokuje, prócz OpenVPN i usług czysto publicznych (mam na myśli HTTP, HTTPS, FTP etc.).
Podłączam się poprawnie pod OpenVPN'a, reguła działa okej, działa również SSH z sieci VPN. Lecz z serwera nie mogę nic
spingować, apt-get również nie działa, nie rozpoznaje hostów, mimo dodawania reguł DNS i Ping.

Moja konfiguracja:

/etc/shorewall/interfaces

Kod: Zaznacz cały

###############################################################################
#ZONE    INTERFACE    BROADCAST          OPTIONS
net     venet0          185.XX.XX.208          tcpflags
ovpn    tun0        detect              routeback
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
/etc/shorewall/zones

Kod: Zaznacz cały

###############################################################################
#ZONE    TYPE        OPTIONS        IN            OUT
#                    OPTIONS            OPTIONS
fw    firewall
net    ipv4
ovpn    ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE


/etc/shorewall/tunnels

Kod: Zaznacz cały

openvpn:1194    net        185.49.13.208


/etc/shorewall/policy

Kod: Zaznacz cały

#SOURCE   DEST     POLICY   LOG   LIMIT:    CONNLIMIT:
#                           LEVEL BURST     MASK

# From Firewall Policy
fw        fw       ACCEPT   
fw    net    ACCEPT
fw        ovpn     ACCEPT   

# From OpenVPN Policy
ovpn      ovpn     ACCEPT   
ovpn      net      ACCEPT   
ovpn    fw    DROP    info

# From Net Policy
net       fw       DROP     info
net       ovpn     DROP     info

# THE FOLLOWING POLICY MUST BE LAST
#
all    all    REJECT    info


/etc/shorewall/rules

Kod: Zaznacz cały

#ACTION         SOURCE  DEST  PROTO  DEST      SOURCE      ORIGINAL    RATE

# Permit access to SSH via VPN
SSH/ACCEPT        ovpn        fw

# Permit access to Webmin via VPN
Webmin/ACCEPT        ovpn        fw

# Permit access to Samba via VPN
SMB/ACCEPT        ovpn        fw

# Permit access to OpenVPN server
ACCEPT            net        fw        udp        1194

# Permit access to Public services
DNS/ACCEPT        ovpn        fw
HTTP/ACCEPT        net        fw
HTTPS/ACCEPT        net        fw
FTP/ACCEPT        net        fw
Ping/ACCEPT        net        net
Ping/ACCEPT          net             fw
Ping/ACCEPT          ovpn            fw
ACCEPT            fw               ovpn        icmp
ACCEPT            fw               net             icmp

# LAST LINE -- DO NOT REMOVE

: 24 maja 2014, 19:36
autor: mariaczi
Jak zachowuje się serwer z wyłączonym shorewallem? Również, tak samo?

: 24 maja 2014, 21:42
autor: Przem4S
Przy wyłączonym shorewall'u wszystko jest okej. Pingi/DNS (resolv host) działają poprawnie, problem leży ewidentnie po stronie shorewall.

EDIT:

Udało mi się trochę pokombinować. Aby działał ping oraz dns trzeba było dorzucić do rules:

Kod: Zaznacz cały

ACCEPT        net:8.8.8.8    fw        udp
ACCEPT        net               fw        icmp
gdzie 8.8.8.8 to adres serwera DNS.

Nie jestem przekonany czy takie rozwiązanie jest bezpieczne (odblokowanie icmp z sieci).
Proszę o sugestie. Pozdrawiam
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl