Комментарии пользователя ITsis

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

ValdikSS, Всё получилось!
Огромное спасибо!
Оказался сам себе злобный буратино.
У меня был заблокирован PREROUTING, вывод iptables -S его не выводит, заметил это внутри файла правил.
Как только разрешил PREROUTING трафик в туннеле пошёл.
Ещё раз огромное спасибо.

Написано 25 мая

Нужна помощь по IPTABLES и перебросу трафика между интерфейсами

ITsis @ITsis

Не могли бы выложить решение?

Написано 25 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

У меня пропадает доступ к этой машине по ВПН впринципе. Т.е. после применения правил туннель какое-то время активен, а потом отключается. Подключиться к машине по ssh с компа, который подключен к тому же ВПН серверу уже нельзя.

Публикую полный вывод команды iptables -S

Свои правила это попытка разобраться + эксперименты. Они добавляются уже после. Попыток применить предоставленные правила.

Написано 24 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

ValdikSS, добавил в начало -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
результата нет.
Не совсем понимаю логику.
Если верить этим правилам, то я запрещаю исходящие запросы с интерфейса свистка и запрещаю весь трафик от и до свистка?
Таким образом необходимо добавить разрешающее правило (FORWARD) для 22 порта до строки -A FORWARD -i int1 -j DROP и SSH должен появиться?
-A FORWARD -i int2 -p tcp --dport 22 -j ACCEPT

Написано 23 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

ValdikSS, После применения зарезался и из туннеля входящий SSH и входящий Ping

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int2 -o tun -j ACCEPT
-A FORWARD -i tun -o int2 -j ACCEPT
-A FORWARD -i int1 -j DROP
-A FORWARD -o int1 -j DROP
-A OUTPUT -d IP-VPN-SERVER -o int1 -j ACCEPT
-A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
-A OUTPUT -o int1 -j DROP

Написано 23 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

Судя по tcpdump на интерфейсе свистка идут только подключения к ВПН серверу
Локальный интерфейс общается только со своими клиентами внутри своей подсети

Написано 22 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

Запустил лог и среди всей массы я так понял что мне нужны именно эти строки

IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.2 LEN=88 TOS=0x10 PREC=0x00 TTL=64 ID=31023 DF PROTO=TCP SPT=22 DPT=49440 WINDOW=501 RES=0x00 ACK PSH URGP=0
IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SEVRER LEN=140 TOS=0x00 PREC=0x00 TTL=64 ID=13463 DF PROTO=UDP SPT=56708 DPT=1194 LEN=120
IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.3 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=25054 PROTO=ICMP TYPE=0 CODE=0 ID=18203 SEQ=3
IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SERVER LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=13464 DF PROTO=UDP SPT=56708 DPT=1194 LEN=116

Я понимаю, что тут видно SSH исходящий трафик на интерфейсе tun и ВПН трафик на интерфейсе свистка с ВПН сервера, но я не понимаю какими правилами можно разрешить этот трафик учитывая, что по умолчанию у меня блокируется FORWARD а OUTPUT режет только всё, что не прописано выше.

Написано 22 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

Всё верно.
-Р - это ведь параметр по умолчанию, т.е. по умолчанию весь входящий\исходящий\транзитный трафик разрешён
Сейчас у меня так и есть.
Я правильно понимаю, что необходимо в конец моих правил добавить

-A INPUT -j LOG
-A OUTPUT -j LOG
-A FORWARD - j LOG

Чтобы посмотреть что и как именно ходит в туннель и после по умолчанию сделать DROP, и отдельными правилами разрешить то, что нашёл в логах?

Написано 21 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

Alexey Dmitriev, Если вкратце, то надо обрезать весь лишний трафик, оставить только трафик внутри VPN.
Имеется VPN сервер, к нему подключаются шлюзы, а уже к ним конечные клиенты.
Суть в том, чтобы эти шлюзы и конечные клиенты за ними видели друг друга, наружу не ходили.

Моими правилами выполнено первое условие, после подключения к VPN серверу подсети за шлюзами видны друг другу.
На счёт трафика внутри VPN не беспокоюсь, т.к. цель - запретить всё, что не идёт туда, как исходящие, так и входящие запросы.
Короче говоря - закрыть внешний интернет и сделать одну большую локальную сеть средствами VPN.
Извините если криво объяснил.

Написано 21 мая

Как в iptables разрешить только туннельный трафик?

ITsis @ITsis Автор вопроса

Применил рекомендованные правила, с другого шлюза в ВПН сети на этот шлюз могу подключаться, но с клиентов за удалённым шлюзом связи до этого GW нет. Ранее со старыми правилами можно было с клиента на клиент попадать за шлюзами.
сейчас так:

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int2 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o int2 -j ACCEPT
-A OUTPUT -d "IP-VPN" -o int1 -j ACCEPT
-A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
-A OUTPUT -o int1 -j DROP

Написано более трёх лет назад

Войдите на сайт