Задать вопрос
@Pifagorr

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Суть вопроса в чем, у меня есть vpn сервис(pritunl) на хостере hetzner. Они постоянно присылают мне абузы из-за использования диапазона rc1918. Настроил блокировку трафика через UFW брандмауэр, но это не помогло от слова совсем, абузы также летят как и раньше. В итоге их суппорт теперь рекомендует именно остановить трафик, а не блокировать его. Как мне это сделать, с помощью чего?
  • Вопрос задан
  • 214 просмотров
Подписаться 1 Сложный 19 комментариев
Решения вопроса 2
@Drno
А при чем тут хостер, если ты виноват?))

С помощью iptables дропни все исходящие с eth0 (или какой там у тебя интерфейс) на приватные адреса

У кого то из твоих впнщиков сидит вирусня/сканер/етс
Ответ написан
ValdikSS
@ValdikSS
Без дампа захвата трафика и анализа ситуации могу только ткнуть пальцем в небо и предположить, полагая, что у вас корректно настроен NAT (MASQUERADE) из VPN-интерфейса на физический интерфейс, что от VPN-клиентов уходит трафик без подмены адреса (без NAT'а), если TCP-сессия уже была установлена с каким-либо хостом в момент соединения с VPN.

В этом случае, при типичной настройке iptables, правило MASQUERADE не будет выполняться (так как у пакетов состояние conntrack INVALID, а не NEW/ESTABLISHED), и пакеты будут маршрутизироваться без замены исходного адреса.

Решение:
iptables -I FORWARD -m conntrack --ctstate INVALID -j DROP


Аналогичная ситуация может происходить, если кто-то из клиентов генерирует пакеты TCP на низком уровне, без установки TCP-сессии. Например, единичный SYN/ACK-пакет, не принадлежащий какой-либо TCP-сессии, отправленный через VPN, не попадёт под действие NAT MASQUERADE-правила.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@Zerg89
Прячте трафик за натом тогда весь трафик будет уходить с вашим белым ip
Ответ написан
@Pifagorr Автор вопроса
Всех благодарю за помощь и предложенные решения проблемы! Помогло в итоге решение ValdikSS sudo iptables -I FORWARD -m conntrack --ctstate INVALID -j DROP
и Drno sudo iptables -A OUTPUT -o enp9s0(тут ваш интерфейс) -d 172.16.0.0/12(тут ваша виртуальная сеть vpn) -j DROP
Надеюсь что вопрос реально исчерпан и хетцнеры отстанут от меня наконец-то.

П.С. Чтобы увидеть сетевой интерфейс, используйте команду ip ad, а чтобы увидеть какие виртуальные сети использует ваш vpn - ip route. Возможно кому-то пригодится, чтобы не рыть всю переписку.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы