Как запретить выход в интернет VPN-клиентам, оставив доступ только к заданному ip (либо домену)?

Question

[x-tropic]

Здравствуйте, имеется роутер с кастомной прошивкой и встроенным сервером openvpn. Как с помощью iptables ограничить доступ vpn-клиентам, блокируя все соединения, оставив доступ только к одному сайту?

Answer 1

[krosh]

Предполагая, что tun0 - интерфейс для впн-клиентов, а eth0 - в интернет, то можно начать со следующих правил.

iptables -P FORWARD DROP
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -m comment --comment "РАЗРЕШЕНО Установленные соединения" -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -p udp -m udp --dport 53 -m comment --comment "РАЗРЕШЕНО DNS/udp" -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -d yandex.ru -m conntrack --ctstate NEW -m comment --comment "РАЗРЕШЕНО Доступ к Яндексу" -j ACCEPT

2 и 3 правила я бы рекомендовал сделать общими, без привязки к интерфейсу, но не зная, что у Вас к чему ограничился входным (tun0) и выходным (eyh0) интерфейсами.

Comments

[x-tropic]

Не сработало. Выяснил, что вместо tun0 у меня ppp10, а вместо eth0 у меня br0. При выполнении скрипта вываливается вот это: iptables v1.4.16.3: Couldn't find match `comment'.
Видимо правила нужно как-то подкорректировать?!

[krosh]

x-tropic: да, Вы правы, нужно удалить комментарий в каждом из правил: -m comment --comment "РАЗРЕШЕНО Доступ к Яндексу"

[x-tropic]

krosh: к сожалению не срабатывает. Ругани после выполнения /etc/storage/*post_iptables_script.sh нету, но при подключении клиента к серверу, никакой блокировки нет. Я пробовал разные вариации интерфейсов, вот лог при подключении впн-клиента:

Mar 1 12:56:26 pptpd[682]: CTRL: Client 192.168.1.3 control connection started
Mar 1 12:56:26 pptpd[682]: CTRL: Starting call (launching pppd, opening GRE)
Mar 1 12:56:26 pppd[683]: Plugin pptp.so loaded.
Mar 1 12:56:26 pppd[683]: PPTP plugin version 0.8.5 compiled for pppd-2.4.7
Mar 1 12:56:26 pppd[683]: pppd 2.4.7 started by x-tropic, uid 0
Mar 1 12:56:26 pppd[683]: Using interface ppp10
Mar 1 12:56:26 pppd[683]: Connect: ppp10 <--> pptp (192.168.1.3)
Mar 1 12:56:26 pppd[683]: MPPE 128-bit stateless compression enabled
Mar 1 12:56:26 pppd[683]: found interface br0 for proxy arp
Mar 1 12:56:26 pppd[683]: local IP address 192.168.1.245
Mar 1 12:56:26 pppd[683]: remote IP address 192.168.1.247
Mar 1 12:56:26 VPN server: peer 192.168.1.3 (x-tropic) connected - ifname: ppp10, local IP: 192.168.1.247

А так же вот список доступных интерфейсов на роутере: br0, eth2, eth2.1, eth2.2, ra0, rai0.

Я пытался изменить Ваши правила следующим образом:

iptables -P FORWARD DROP
iptables -A FORWARD -i ppp+ -o eth+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ppp+ -o eth+ -p udp -m udp --dport 53 -j ACCEPT
iptables -A FORWARD -i ppp+ -o eth+ -d yandex.ru -m conntrack --ctstate NEW -j ACCEPT

Также пробовал другие интерфейсы в -OUTPUT, но это также мне не помогло.

[krosh]

x-tropic: подключите впн-клиента и покажите вывод
ip a
ip ro sh
iptables-save

Если первых двух не будет, то можно попробовать эти:
ifconfig
route

Другие правила iptables используются на маршрутизаторе?

[krosh]

и ip-адрес впн-клиента

[x-tropic]

krosh: выделяемый ip для клиента в данном случае: 192.168.1.247

[krosh]

x-tropic: могу предположить, что некоторые правила от прошлых экспериментов все еще остались:
-A FORWARD -i ppp+ -o rai0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o rai0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 77.88.55.88/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 5.255.255.5/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 77.88.55.77/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 5.255.255.88/32 -i ppp+ -o rai0 -m conntrack --ctstate NEW -j ACCEPT

У Вас есть скрипт сброса и загрузки стандартных правил? Лишнее можно удалить. Хорошо бы им периодически пользоваться. Команды вы их командной строки вводите?

Попробуйте следующее правило:
iptables -I FORWARD 1 -i ppp10 -j DROP

Оно должно заблокировать любой транзитный трафик у впн-клиентов. Получилось?

Удалить:
iptables -D FORWARD -i ppp10 -j DROP

[x-tropic]

krosh: К сожалению, скрипта для сброса на стандартные правила у меня нет. Если подскажете как удалить все лишнее, то буду Вам очень признателен.

Ваше правило для блокировки любого транзитного трафика впн-клиентов сработало.

[x-tropic]

krosh: Впрочем, возможно сбросить все настройки роутера на штатные, если конечно это вернет iptables к стандартным правилам.

[krosh]

x-tropic: может попробовать перезагрузить роутер? Если там нет скрипта автосохранения, то правила восстановятся на момент до Ваших изысканий.

Удалите правило любого транзитного трафика и попробуйте следующие команды:
iptables -A vpnlist -i ppp10 -d yandex.ru -j ACCEPT
iptables -D vpnlist -i ppp10 -j ACCEPT

Первое добавляет уточнения в разрешения, второе - удаляет старое правило в цепочке vpnlist. В итоге в этой цепочке должно остаться только одно правило.

А как Вы планируете сохранять изменения в правилах?

[x-tropic]

krosh:
При выполнении Ваших команд в ответ получаю: iptables: Bad rule (does a matching rule exist in that chain?).
После перезагрузки роутера получил вот такой выхлоп iptables-save:

# Generated by iptables-save v1.4.16.3 on Wed Mar 1 20:44:25 2017
*filter
:INPUT DROP [464:65696]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [970859:42779044]
:bfplimit - [0:0]
:doslimit - [0:0]
:upnp - [0:0]
:vpnlist - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i eth2.2 -m state --state NEW -j doslimit
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j vpnlist
-A INPUT -p icmp -m icmp ! --icmp-type 8 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth2.2 -m state --state NEW -j doslimit
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -o eth2.2 -j vpnlist
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A doslimit -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 30 -j RETURN
-A doslimit -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A doslimit -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A doslimit -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A doslimit -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec -j RETURN
-A doslimit -p icmp -m icmp --icmp-type 8 -j DROP
-A upnp -d 192.168.1.2/32 -p udp -m udp --dport 4500 -j ACCEPT
-A upnp -d 192.168.1.2/32 -p udp -m udp --dport 5353 -j ACCEPT
-A upnp -d 192.168.1.2/32 -p tcp -m tcp --dport 51413 -j ACCEPT
-A upnp -d 192.168.1.2/32 -p udp -m udp --dport 51413 -j ACCEPT
-A upnp -d 192.168.1.3/32 -p udp -m udp --dport 5353 -j ACCEPT
-A upnp -d 192.168.1.3/32 -p udp -m udp --dport 4500 -j ACCEPT
-A vpnlist -d 5.255.255.77/32 -i ppp10 -j ACCEPT
-A vpnlist -d 77.88.55.77/32 -i ppp10 -j ACCEPT
-A vpnlist -d 77.88.55.60/32 -i ppp10 -j ACCEPT
COMMIT

Последние три строчки лога это видимо результат выполнения Ваших последних двух команд, которые я выполнял уже после ребута роутера.

Я собираюсь хранить правила в файле *post_iptables_script.sh, в котором написано: Called after internal iptables reconfig (firewall update). Насколько я понимаю, что правила, которые прописаны в данном файле, срабатывают после запуска роутера. Если изменять содержимое данного файла, то после перезагрузки роутера, правила также будут обновляться взамен старых, я правильно понимаю?!

[krosh]

x-tropic: в файле *post_iptables_script.sh правила iptables? Они похожи на вывод выше? Если все так, то да их можно поменять и они будут загружаться при каждом ребуте. Либо использовать iptables-save и iptables-restore.

Последняя итерация помогла? ВПН-клиенты могут получить доступ к другим сайтам кроме Яндекса?

[x-tropic]

krosh: Нет, файл *post_iptables_script.sh пуст и я так понимаю, он служит для инжектирования кастомных правил для iptables...!?
Последняя итерация к сожалению не помогла. ВПН-клиенты по прежнему могут получить доступ к другим сайтам.

[krosh]

x-tropic: Вы проверяли, что интерфейс ppp10 остался прежним?

Я бы затер всю цепочку FORWARD: -F FORWARD и начал бы добавлять сначала разрешаюшие правила, потом все остальные и смотреть, что и как работает.

Можно попробовать так:
iptables -I FORWARD 1 -d ping.eu -j REJECT
проверить в браузере у впн-клиента, что ping.eu не открывается и удалить
iptables -D FORWARD -d ping.eu -j REJECT
если адрес блокировался, то опускаться на правило ниже, добавляя +1:
iptables -I FORWARD 2 -d ping.eu -j REJECT
проверить и удлать.
И так до того момента, пока сайт не начнет открываться на впн-клиенте.

Что это за строка в конфиге, после которой сайт работает?

[x-tropic]

krosh: iptables -I FORWARD 8 -d ping.eu -j REJECT --- вот эта работает, а все что ниже блокируется.

[x-tropic]

krosh: Да, интерфейс ppp10 тот же.

[krosh]

x-tropic: если блокирующее правило поставить восьмым в строчку, то сайт ping.eu не блокируется? Покажите
iptables -S FORWARD
iptables -L FORWARD --line-numbers

[x-tropic]

krosh: Да, не блокируется. Вот:
iptables -S FORWARD

-P FORWARD DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth2.2 -m state --state NEW -j doslimit
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -o eth2.2 -j vpnlist
-A FORWARD -d 88.198.46.60/32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

iptables -L FORWARD --line-numbers

Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere
2 TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
3 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
4 DROP all -- anywhere anywhere state INVALID
5 doslimit all -- anywhere anywhere state NEW
6 ACCEPT all -- anywhere anywhere
7 vpnlist all -- anywhere anywhere
8 REJECT all -- anywhere faces.eu reject-with icmp-port-unreachable
9 ACCEPT all -- anywhere anywhere ctstate DNAT

[krosh]

x-tropic: а что в vpnlist?
iptables -S vpnlist

Если почистить цепочку интернет у впн-клиента работает?
iptables -F vpnlist

[x-tropic]

krosh:
вывод iptables -S vpnlist:

-N vpnlist

Да, работает.

[krosh]

x-tropic: думаю цепочка vpnlist тут ни при чем. Давайте перейдем к более решительным делам.
Удаляйте поочереди и проверяйте интернет у впн-клиентов и пинг до маршрутизатора.
iptables -D FORWARD -o eth2.2 -j vpnlist
iptables -D FORWARD -i br0 -j ACCEPT

Предполагаю, что после удаления этих правил интернет работать не будет. Восстановить вы их сможете или перезагрузкой, или из правил выше.

[x-tropic]

krosh:
iptables -D FORWARD -o eth2.2 -j vpnlist --- после выполнения этого правила, интернет у впн-клиента пропадает, но маршрутизатор пингуется.
iptables -D FORWARD -i br0 -j ACCEPT --- после этого правила интернет у впн-клиента работает, но пропал на других машинах, которые не являются впн-клиентами.

[x-tropic]

krosh: в обоих случаях маршрутизатор пингуется.

[krosh]

x-tropic: перезагрузите маршрутизатор и снова покажите
ip a
ip ro sh
iptables-save

Только проследите чтобы и нат-правила там были.
И какой адрес маршрутизатора по умолчанию прописан у впн-клиентов?

[krosh]

x-tropic: в выводе выше нет ppp10 & vnplist. Вы уверенны, что впн-клиент подключился?

[krosh]

x-tropic: что-то совсем ничего понять не могу.

Попробуйте так:
iptables -F vpnlist
iptables -A vpnlist -i ppp10 -d ping.eu -j ACCEPT
iptables -A vpnlist -i ppp10 -j REJECT

или так:
iptables -I FORWARD 6 -i ppp10 -d ping.eu -j ACCEPT
iptables -I FORWARD 7 -i ppp10 -j REJECT

[x-tropic]

krosh:
iptables -I FORWARD 6 -i ppp10 -d ping.eu -j ACCEPT
iptables -I FORWARD 7 -i ppp10 -j REJECT
Вот этот вариант сработал! Блокируется все, кроме ping.eu. Я так понимаю, мне достаточно изменить ping.eu на нужный сайт и прописать эти правила?!
Огромное Вам спасибо за помощь и участие!

[x-tropic]

krosh: Почему-то после подстановки других сайтов, они не открываются...

[krosh]

x-tropic: скорей всего дело в недоступности ДНС для впн-клиента. Проверьте на клиенте
nslookup ping.eu
nslookup ya.ru

Если будет пусто или ошибка, то можно попробовать добавить правила как-то так:
iptables -I FORWARD 6 -i ppp10 -p udp -m udp --dport 53 -j ACCEPT

[x-tropic]

krosh: Да, Вы правы. Это работает. Еще раз искренне благодарю за помощь и потраченное драгоценное время.

[krosh]

x-tropic: Успехов! Заметьте, что мы пришли ровно к тому, что я написал в самом решении :).

[Toshua]

krosh Здравствуйте, буду очень благодарен за помощь.
Вопрос похожий, но как запретить выход в интернет VPN-клиентам, оставив доступ только от заданного ip?