Как в iptables разрешить только туннельный трафик?

Question

[ITsis]

Приветствую.
Есть ПК (GW 192.168.3.1)на  Ubuntu, который выступает шлюзом, к нему в свою очередь подключается несколько клиентов.
Сам GW цепляется по VPN к общей сети из таких же конструкций, каждая со своей подсетью.
Интернет получает через USB свисток.
Т.к. интернет лимитный требуется зарезать все подключения во внешний мир. Оставить только возможность поднимать туннель и обмениваться трафиком внутри него. Весь внешний мир требуется отрезать.
Как можно это реализовать с помошью iptables?
int1 - интерфейс свистка с адресом 192.168.8.1
int2 - интерфейс самого ПК - 192.168.3.1
tun0 - туннельный интерфейс.

Понимаю, что по умолчанию требуется дропать все политики, но после этого не совсем знаю как открыть только нужные, или может через форвард....

Заранее спасибо,
Пока что так, знаю, что сейчас всё открыто и надо по умолчанию в начале ставить DROP

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Comments

[Alexey Dmitriev]

Сформулируйте вопрос с использованием информации по ip подсетям, в нормальных терминах и т.п., чего нужно добиться.
Ваш вопрос непонятен.
Нормальные термины:
1. Входящий на сервер трафик.
2. Исходящий с сервера трафик.
3. Транзитный, то есть проходящий СКВОЗЬ СЕРВЕР трафик.

VPN туннель, проложенный через Интернет - типа бесплатный, раз вы беспокоитесь про копеечные затраты с сервера типа DNS запросов и т.п. и не беспокоитесь, что у вас будет идти гораздо больший трафик внутри VPN?

[ITsis]

Alexey Dmitriev, Если вкратце, то надо обрезать весь лишний трафик, оставить только трафик внутри VPN.
Имеется VPN сервер, к нему подключаются шлюзы, а уже к ним конечные клиенты.
Суть в том, чтобы эти шлюзы и конечные клиенты за ними видели друг друга, наружу не ходили.

Моими правилами выполнено первое условие, после подключения к VPN серверу подсети за шлюзами видны друг другу.
На счёт трафика внутри VPN не беспокоюсь, т.к. цель - запретить всё, что не идёт туда, как исходящие, так и входящие запросы.
Короче говоря - закрыть внешний интернет и сделать одну большую локальную сеть средствами VPN.
Извините если криво объяснил.

Answer 1

[ValdikSS]

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A FORWARD -i int2 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o int2 -j ACCEPT
-A OUTPUT -o int1 -d ip-адрес-vpn-сервера -j ACCEPT
-A OUTPUT -o int1 -d 192.168.8.0/24 -j ACCEPT
-A OUTPUT -o int1 -j DROP

И аналогичные для IPv6.

Comments

[ITsis]

А входящий трафик в INPUT оставить как есть?

[ValdikSS]

ITsis, Да.

[Alexey Dmitriev]

Это ответ закроет только исходящий с самого сервера трафик и никак не ограничит транзитный.

[ValdikSS]

Alexey Dmitriev, Всё верно, это и нужно автору, перечитайте вопрос и посмотрите правила. Автор знает, как ограничить транзитный трафик, но не знает, как правильно настроить сервер, чтобы у самого сервера при этом был доступ к VPN-каналу.

[Alexey Dmitriev]

ValdikSS, спасибо, я пока не уверен в правильности ваших выводов. IMHO вопрос явно требует уточнения.

[ValdikSS]

Alexey Dmitriev, ан-нет, это правы вы, упустил, что туннельный интерфейс это tun0. Переписал ответ.

[ITsis]

ValdikSS, благодарю! Попробую и обязательно отпишусь по результату.

[ITsis]

Применил рекомендованные правила, с другого шлюза в ВПН сети на этот шлюз могу подключаться, но с клиентов за удалённым шлюзом связи до этого GW нет. Ранее со старыми правилами можно было с клиента на клиент попадать за шлюзами.
сейчас так:

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int2 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o int2 -j ACCEPT
-A OUTPUT -d "IP-VPN" -o int1 -j ACCEPT
-A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
-A OUTPUT -o int1 -j DROP

[ValdikSS]

ITsis, запрещающих это правил не вижу. Отлаживайте через tcpdump, как у вас потоки трафика идут.

[ITsis]

Судя по tcpdump на интерфейсе свистка идут только подключения к ВПН серверу
Локальный интерфейс общается только со своими клиентами внутри своей подсети

[ValdikSS]

ITsis,

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i int1 -j DROP
-A FORWARD -o int1 -j DROP
-A OUTPUT -o int1 -d ip-адрес-vpn-сервера -j ACCEPT
-A OUTPUT -o int1 -d 192.168.8.0/24 -j ACCEPT
-A OUTPUT -o int1 -j DROP

[ITsis]

ValdikSS, После применения зарезался и из туннеля входящий SSH и входящий Ping

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int2 -o tun -j ACCEPT
-A FORWARD -i tun -o int2 -j ACCEPT
-A FORWARD -i int1 -j DROP
-A FORWARD -o int1 -j DROP
-A OUTPUT -d IP-VPN-SERVER -o int1 -j ACCEPT
-A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
-A OUTPUT -o int1 -j DROP

[ValdikSS]

ITsis, добавьте соответствующее правило.

[ITsis]

ValdikSS, добавил в начало -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
результата нет.
Не совсем понимаю логику.
Если верить этим правилам, то я запрещаю исходящие запросы с интерфейса свистка и запрещаю весь трафик от и до свистка?
Таким образом необходимо добавить разрешающее правило (FORWARD) для 22 порта до строки -A FORWARD -i int1 -j DROP и SSH должен появиться?
-A FORWARD -i int2 -p tcp --dport 22 -j ACCEPT

[ValdikSS]

ITsis, У вас не работает SSH внутри туннеля? Вы точно публикуете все правила, а не часть (вы зачем-то каждый раз добавляете свои правила к тем, что я пишу)?
У вас нет запрещающих правил, которые бы блокировали SSH. FORWARD-таблица применяется только для транзитного трафика, доступ к серверу транзитным не является, независимо от интерфейса.

[ITsis]

У меня пропадает доступ к этой машине по ВПН впринципе. Т.е. после применения правил туннель какое-то время активен, а потом отключается. Подключиться к машине по ssh с компа, который подключен к тому же ВПН серверу уже нельзя.

Публикую полный вывод команды iptables -S

Свои правила это попытка разобраться + эксперименты. Они добавляются уже после. Попыток применить предоставленные правила.

[ITsis]

ValdikSS, Всё получилось!
Огромное спасибо!
Оказался сам себе злобный буратино.
У меня был заблокирован PREROUTING, вывод iptables -S его не выводит, заметил это внутри файла правил.
Как только разрешил PREROUTING трафик в туннеле пошёл.
Ещё раз огромное спасибо.

Answer 2

[Alexey Dmitriev]

Вам нужно закрыть входящий (INPUT) трафик, кроме трафика, нужного для создания VPN соединения,
закрыть исходящий трафик (OUTPUT), кроме трафика, необходимого для создания VPN туннеля,
закрыть проходящий трафик (FORWARD), кроме трафика клиентов.

Советую создать вам разрешающие правила при политиках ACCEPT (iptables -P блабла - j ACCEPT), а последней строкой добавить -j LOG, тогда вы сможете увидеть в /var/log/messages не описанный правилами трафик и проанализировать его. Когда этот трафик будет проанализирован - можно включать политики по умолчанию в DROP

Comments

[ITsis]

Всё верно.
-Р - это ведь параметр по умолчанию, т.е. по умолчанию весь входящий\исходящий\транзитный трафик разрешён
Сейчас у меня так и есть.
Я правильно понимаю, что необходимо в конец моих правил добавить

-A INPUT -j LOG
-A OUTPUT -j LOG
-A FORWARD - j LOG

Чтобы посмотреть что и как именно ходит в туннель и после по умолчанию сделать DROP, и отдельными правилами разрешить то, что нашёл в логах?

[Alexey Dmitriev]

ITsis, да, правила в таблице обрабатываются сверху вниз, поэтому есть iptables -A и -I, чтобы управлять порядком применения.

[ITsis]

Запустил лог и среди всей массы я так понял что мне нужны именно эти строки

IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.2 LEN=88 TOS=0x10 PREC=0x00 TTL=64 ID=31023 DF PROTO=TCP SPT=22 DPT=49440 WINDOW=501 RES=0x00 ACK PSH URGP=0
IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SEVRER LEN=140 TOS=0x00 PREC=0x00 TTL=64 ID=13463 DF PROTO=UDP SPT=56708 DPT=1194 LEN=120
IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.3 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=25054 PROTO=ICMP TYPE=0 CODE=0 ID=18203 SEQ=3
IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SERVER LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=13464 DF PROTO=UDP SPT=56708 DPT=1194 LEN=116

Я понимаю, что тут видно SSH исходящий трафик на интерфейсе tun и ВПН трафик на интерфейсе свистка с ВПН сервера, но я не понимаю какими правилами можно разрешить этот трафик учитывая, что по умолчанию у меня блокируется FORWARD а OUTPUT режет только всё, что не прописано выше.

Answer 3

[ITsis]

Можно для совсем тупых? Ведь именно таким я себя и ощущаю...

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #разрешение SSH
-A INPUT -i int2-j ACCEPT #разрешить весь входящий трафик на локальный интерфейс (может лишнее)
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT #перенаправление всех новых и существующих соединений из локального интерфейса 
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT #перенаправление всех существующих соединений из интернета(свистка)
-A FORWARD -i int2 -o tun -j ACCEPT #разрешение всего трафика между локальным интерфейсом и тунелем
-A FORWARD -i tun -o int2 -j ACCEPT 
-A FORWARD -i int1 -j DROP #запретить получать всё через свитсок, что не разрешено выше
-A FORWARD -o int1 -j DROP #запретить отправлять всё через свисток, что не разрешено выше
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT #разрешить исходящий трафик для ssh
-A OUTPUT -d IP-VPN-SERVER -o int1 -j ACCEPT #разрешить исходящие подключения на ВПН сервер через свисток
-A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT #разрешить исходящие подключения с локального адреса свистка через его интерфейс
-A OUTPUT -o int1 -j DROP #закрыть весь исходящий трафик в интернет

В итоге после применения этого правила какое-то время моё ssh подключение держится, потом падает.
Соответственно пинг не проходит, через туннель уже не подключиться на эту машину, хотя с неё доступ на другие ВПН клиенты есть.

Что нужно прописать в FORWARD и OUTPUT Чтобы последние команды DROP не мешали получить доступ от других ВПН клиентов к этой машине?