openvpn - iptables

Konfiguracja serwerów, usług, itp.
Awatar użytkownika
koper97
Posty: 19
Rejestracja: 26 kwietnia 2016, 11:07

Re: openvpn - iptables

Post autor: koper97 »

ahh, chciałbym jeszcze blokować przekazywanie pakietów (FORWARD), po wpisaniu w konsoli:

Kod: Zaznacz cały

 iptables -P FORWARD DROP
brak internetu w tunelu, a w logach firewalla pojawia się komunikat:

Kod: Zaznacz cały

Sep 30 16:13:15 KOPER kernel: [  913.328407] IPTables-Dropped: IN=wlan0 OUT= MAC=ac:e0:10:68:6d:c8:fc:f5:28:85:b1:c3:08:00 SRC=74.125.143.188 DST=192.168.1.36 LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=57955 PROTO=TCP SPT=443 DPT=38830 WINDOW=368 RES=0x00 ACK FIN URGP=0 
i

Kod: Zaznacz cały

Sep 30 16:14:21 KOPER kernel: [  979.599709] IPTables-Dropped: IN=wlan0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:ad:f8:a9:4e:69:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=352 TOS=0x00 PREC=0x00 TTL=64 ID=35405 PROTO=UDP SPT=68 DPT=67 LEN=332 
wiem że trzeba dopisać wyjątek do łańcucha FORWARD ale nie wiem jak...
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: openvpn - iptables

Post autor: lizard »

Tą regułą zablokowałeś przekazywanie pakietów, w tym ruch pomiędzy tunelem, a resztą sieci. Zastanów się, czy potrzebujesz takiego zabezpieczenia.

Jeśli tak, to odblokuj ruch:

Kod: Zaznacz cały

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A FORWARD -i wlan0 -s 192.168.1.0/24 -o tun0 -d 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.0.0.0/24 -o wlan0 -d 192.168.1.0/24 -j ACCEPT
Czy oprócz wlan0 posiadasz jeszcze fizyczne interfejsy, np. eth0? Jeśli tak, to musisz zrobić analogiczne reguły jak dwie ostatnie dla tego interfejsu (w sumie cztery).

Pierwszy wpis z logów, to połączenie z zewnątrz. Drugi wygląda na zapytanie DHCP.

P.S.

Dodając powyższe reguły otworzysz całkowicie ruch przechodzący, więc nie widzę sensu ustawiania zasad dla FORWARD na DROP, a później odblokowywania tego całkowicie.
ODPOWIEDZ