Фаервол + VPN

Ivanhoe · Сообщение **Ivanhoe** » 30.01.2007 22:49

Создаю тему по просьбе товарисча, ибо сам я в бзд дуб )

Есть адаптер vr0(192.168.1.100/24) - внутренний. Адаптер vr1(192.168.3.100/24) - внешний. ADSL модем (192.168.1.3/24). Клиент подклучаетсиа к серваку FreeBSD 6.1 через VPN (черес poptop, collector - ndsad), ip-адреса ему видаются биллингом UTM5 (адреса из диапасона 10.0.0.0), в нашем случае ip клиента 10.0.0.2. Устроиства VPN соответств. tun0, tun1,...
Надо написать правиал для ipfw чтоб доступ из лоцалнои сети к инету, путем указаниа DNS сервера проваидера и основного шлюза - внутреннего интерфеиса сервера, был запрешен, а инет шел бы тока через VPN подключение. Ниже приведен кусок лога, где прописан путь пакета пинга с компа локальной сети ip адреса 213.180.204.8. Правила ipfw исползовались следуюшие для разрешениа прохожденя всех пакетов:

00050 1375 333466 divert 8668 log logamount 2000 ip from any to any via vr0
00100 2144 184466 allow ip from any to any via lo0
00100 208 37822 allow log logamount 2000 ip from any to me
00200 1085 261559 allow log logamount 2000 ip from me to any
00300 1777 375895 allow log logamount 2000 ip from any to any
65535 6575 61457258 deny ip from any to any

А вот лог прохождения пинга:
Jan 29 21:46:52 Intserv kernel: ipfw: 100 Accept P:47 192.168.1.210 192.168.1.100 in via vr1
Jan 29 21:46:52 Intserv kernel: ipfw: 300 Accept ICMP:8.0 10.0.0.2 213.180.204.8 in via tun0
Jan 29 21:46:52 Intserv kernel: ipfw: 50 Divert 8668 ICMP:8.0 10.0.0.2 213.180.204.8 out via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 200 Accept ICMP:8.0 192.168.3.100 213.180.204.8 out via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 50 Divert 8668 ICMP:0.0 213.180.204.8 192.168.3.100 in via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 300 Accept ICMP:0.0 213.180.204.8 10.0.0.2 in via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 300 Accept ICMP:0.0 213.180.204.8 10.0.0.2 out via tun0
Jan 29 21:46:52 Intserv kernel: ipfw: 200 Accept P:47 192.168.1.100 192.168.1.210 out via vr1

Помогите уж, плз )) Я предложил ему рубить все пакеты, кроме vpn-ных. Он согласился, но просит правила ipfw.

evil · Сообщение **evil** » 01.02.2007 19:48

Ivanhoe писал(а): ↑
30.01.2007 22:49
Создаю тему по просьбе товарисча, ибо сам я в бзд дуб )

Есть адаптер vr0(192.168.1.100/24) - внутренний. Адаптер vr1(192.168.3.100/24) - внешний. ADSL модем (192.168.1.3/24). Клиент подклучаетсиа к серваку FreeBSD 6.1 через VPN (черес poptop, collector - ndsad), ip-адреса ему видаются биллингом UTM5 (адреса из диапасона 10.0.0.0), в нашем случае ip клиента 10.0.0.2. Устроиства VPN соответств. tun0, tun1,...
Надо написать правиал для ipfw чтоб доступ из лоцалнои сети к инету, путем указаниа DNS сервера проваидера и основного шлюза - внутреннего интерфеиса сервера, был запрешен, а инет шел бы тока через VPN подключение. Ниже приведен кусок лога, где прописан путь пакета пинга с компа локальной сети ip адреса 213.180.204.8. Правила ipfw исползовались следуюшие для разрешениа прохожденя всех пакетов:

00050 1375 333466 divert 8668 log logamount 2000 ip from any to any via vr0
00100 2144 184466 allow ip from any to any via lo0
00100 208 37822 allow log logamount 2000 ip from any to me
00200 1085 261559 allow log logamount 2000 ip from me to any
00300 1777 375895 allow log logamount 2000 ip from any to any
65535 6575 61457258 deny ip from any to any

А вот лог прохождения пинга:
Jan 29 21:46:52 Intserv kernel: ipfw: 100 Accept P:47 192.168.1.210 192.168.1.100 in via vr1
Jan 29 21:46:52 Intserv kernel: ipfw: 300 Accept ICMP:8.0 10.0.0.2 213.180.204.8 in via tun0
Jan 29 21:46:52 Intserv kernel: ipfw: 50 Divert 8668 ICMP:8.0 10.0.0.2 213.180.204.8 out via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 200 Accept ICMP:8.0 192.168.3.100 213.180.204.8 out via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 50 Divert 8668 ICMP:0.0 213.180.204.8 192.168.3.100 in via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 300 Accept ICMP:0.0 213.180.204.8 10.0.0.2 in via vr0
Jan 29 21:46:52 Intserv kernel: ipfw: 300 Accept ICMP:0.0 213.180.204.8 10.0.0.2 out via tun0
Jan 29 21:46:52 Intserv kernel: ipfw: 200 Accept P:47 192.168.1.100 192.168.1.210 out via vr1
Помогите уж, плз )) Я предложил ему рубить все пакеты, кроме vpn-ных. Он согласился, но просит правила ipfw.

Не совсем все понятно например к какому интерфейсу подключен адсл модем? Но все же могу коечего посоветовать....
для ната лучше использовать следущии правила заместо приведеного в цитате:
ipfw add divert natd all from 10.0.0.0/24 to any
ipfw add divert natd all from any to ip_smotryashii_v_inet
впринципе замена вашего правила на эти два уже даст вам гарантию того что инетом воспользуются только те кто подключен по средством впн к вашему серваку, а дальше уж с правилами решайте сами что открывать а что нет
ЗЫ если модем подключен к сетевому интерфейсу сервера , а не скажем свитча, то соответственно указав в качестве шлюза внутрений адрес сервака, при условии что вы подправите правила диверта на натд, интернет не будет работать, он будет работать тока у тех кто получит ипи адресс из сети 10.0.0.0/24 путем подключения по впн....
Удачи ж)

gcc · Сообщение **gcc** » 02.09.2007 20:28

1. есть адсл роутер (в него идет сетевея, сам айпи за натом, на интерфейсе айпи 192.168.1.1) сам айпи реальный 86.х.х.х.х
2. openvpn клинет с рельный айпи, шлюз по умолчаниею openvpn (трафик идет на впн сервер! )
этот реальный айпи все время "ковыряют", как настроить фаэрвол???

себе разрешаю все делать

allow me to any

к себе

allow any to my 80,25

порт
пинг

allow icpm any to any

для прикола разрешаю весь udp хотя нафига не знаю

allow udp any to any

сетевая в модем rl0, что с ней делать никто не знает разрешаем всё

add 240 allow ip from any to any via ed0

add 200 allow ip from any to any via lo0

и еще

add 240 allow tcp from any to any http,https,ftp,20

для прикола еще

add 360 allow ip from any to any 80,8080,3128,1194 #dst
add 370 allow ip from any 80,8080,3128,1194 to any
add 380 allow tcp from any to any out

закрываеи все

add 2000 deny log ip from any to any

и что нужно убрать или добавить? если все поняли нужно вход по 80,25 как только закрываю ничего не работает...
будет это работает?

#!/bin/sh
flush
add 200 allow ip from any to any via lo0
add 240 allow ip from any to any via rt0
add 270 allow icmp from any to any #deny
add 910 allow udp from any to any
add 360 allow ip from any to any 80,8080,3128,1194 #dst
add 370 allow ip from any 80,8080,3128,1194 to any
add 380 allow tcp from any to any out
add 400 allow ip from me to any
add 1000 allow tcp from any to me 80
add 2000 deny log ip from any to any
#65535

как закрыть 25 порт?

unixforum.org

Фаервол + VPN

Фаервол + VPN

Re: Фаервол + VPN

Re: Фаервол + VPN