Как запретить выход в интернет VPN-клиентам, оставив доступ только от заданного ip?

Question

[Toshua]

Здравствуйте.

В наличии VPS сервер с развернутым OpenVPN.
Как с помощью iptables ограничить доступ vpn-клиентам к интернету, разрешив только от заданных ip?

Comments

[АртемЪ]

Не совсем понятно.
Что значит - только от заданных IP?

[Toshua]

АртемЪ,
OpenVPN сервер своими настройками позволяет либо всем открыть доступ в интернет, либо всем закрыть.
Для выборочного контроля доступа остается iptables, а для идентификации клиента подходит статический ip-адрес пк клиента.

Answer 1

[Денис Базарнов]

Добрый день. Под OpenVPN - у тебя отдельная сеть/интерфейс, под публичный интернет - тоже. Вижу два варианта:
1) Либо отменяй маскарадинг для всей OpenVPN сети и прописывай маскарадинг для конкретного ip-адреса
2) Либо играй с цепочкой OUTPUT для сети/интерфейса интернета. Запрещай всем, но разрешай конкретному ip.

Comments

[Toshua]

Денис Базарнов , могу ошибаться но:
1) Либо отменяй маскарадинг для всей OpenVPN сети и прописывай маскарадинг для конкретного ip-адреса

iptables -t nat -A POSTROUTING <b>-s 10.8.0.0/24</b> -o eth0 -j MASQUERADE

Маскарадинг задается для посети впн подключения, в этом случае надо разбираться как привязывать конкретного клиента к конкретному локальному адресу, но возможно существует решение "одна команда для iptables"
2) Либо играй с цепочкой OUTPUT для сети/интерфейса интернета. Запрещай всем, но разрешай конкретному ip.
Как я понимаю, ситуация та же, цепочка OUTPUT не видит внешний статический ip клиента.

Смотрел в сторону решения указанного в Как запретить выход в интернет VPN-клиентам, оставив доступ только к заданному ip (либо домену)?.
Работать с цепочкой FORWARD, но в последней команде заменить -d yandex.ru на -s ip у меня не работает. Дополнительно, впн настроен на протокол tcp.

Могу ошибаться, с iptables я знаком поверхностно. Если у вас есть возможность написать команды для iptables, буду благодарен.

[Денис Базарнов]

Не-не-не :) Вы исходите из того, что при подключении извне по OpenVPN ваш клиент получает внутренний ip адрес. Судя по всему из сети 10.8.0.0/24 Этим внутренним ip и манипулируйте. И OpenVPN сервер дает возможность привязывать конкретный внутренний ip-адрес конкретному клиенту. Непосредственно команды не напишу, извините, по памяти не помню, но вы можете редактировать файл /etc/ufw/before.rules (для ubuntu), например разрешить маскарадинг только для ip 10.8.0.3 будет вот так:

iptables -t nat -A POSTROUTING -s 10.8.0.3/24 -o eth0 -j MASQUERADE

[Toshua]

Денис Базарнов, спасибо. Так и поступил.
Использовал диапазон ip, чтобы каждый раз не лезть к iptables.

iptables -t nat -A POSTROUTING -m iprange --src-range 10.8.0.100-10.8.0.254 -o eth0 -j MASQUERADE

Хотел настраивать только с помощью iptables, получилось наоборот, хоть и больше движений по настройке конкретного пользователя, но решение рабочее.

Answer 2

[krosh]

Весь трафик впн-сервера проходит через цепочку FORWARD, там занимайтесь фильтрацией. В этом контексте он становится маршрутизатором, а на эту тему достаточно материала в поиске. Предполагая, что tun0 - интерфейс для впн-клиентов, а eth0 - в интернет, то можно начать со следующих правил.

iptables -P FORWARD DROP
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -m comment --comment "РАЗРЕШЕНО Установленные соединения" -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -s 192.168.0.100 -p udp -m udp --dport 53 -m comment --comment "РАЗРЕШЕНО DNS/udp для 192.168.0.100" -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -s 192.168.0.100 -m conntrack --ctstate NEW -m comment --comment "РАЗРЕШЕНО Интернет для 192.168.0.100" -j ACCEPT

Возможно правило про ДНС лишнее, не помню как OpenVPN работает с днс-запросами. Попробуйте для начала вовсе без него.

Comments

[Toshua]

@krosh
На ваше решение и смотрел в другом обсуждении Как запретить выход в интернет VPN-клиентам, оставив доступ только к заданному ip (либо домену)?
Именно так и пытался решить вопрос, но не получается.
Про днс не лишнее, днс запросы пробрасываются через впн.
В вопросе забыл уточнить, впн настроен на работу через tcp.

[krosh]

Toshua, тут я немного изменил, вы заметили ключ -s?
Если не работает, то как? Не проходят запросы? Если -P FORWARD DROP заменить на -P FORWARD ACCEPT что-то изменится?

Протокол, который используется для впн-туннеля, не имеет значения к данному вопросу.

[Toshua]

krosh, да, ключ -s с самого начала заметил.
При вводе команды
iptables --policy FORWARD ACCEPT
все начинает работать.

[krosh]

Toshua, значит дело в правилах цепочки FORWARD.

192.168.0.100 заменили на свой?
tun0 попробуйте заменить на tun+

Попробуйте начать с такой конструкции и усложняйте:

iptables -P FORWARD DROP
iptables -A FORWARD -o eth0 -s 192.168.0.100 -j ACCEPT
iptables -A FORWARD -i eth0 -d 192.168.0.100 -j ACCEPT

[Toshua]

krosh, спасибо. Вопрос решил, пошел немного другим путем.
1. Командой разбил пул на два диапазона с "доступом в интернет" и "без доступа"

iptables -t nat -A POSTROUTING -m iprange --src-range 10.8.0.100-10.8.0.254 -o eth0 -j MASQUERADE

2. Привязал клиента к конкретному локальному адресу из нужного диапазона через конфигурацию openVPN.

[krosh]

Toshua, таблица nat и цепочки там не предназначены для фильтрации. По хорошему надо переносить правила в FORWARD.

[Toshua]

krosh, это да. Но текущее решение обладает дополнительным плюсом. Фильтрация идет не по статическому ip, а по имени клиента (сертификата), что позволяет не думать о динамическом ip адресе у клиента.