Téma: Firewall, iptables, openvpn

Ahoj,
neporadil by nekdo s nastavenim firewall u Asus500, popr. v dreamboxu.
Nevim presne jak trpaslici nosi 1 a 0 v paketech a kam, takze mi skoro nic nefunguje. Teda funguje az moc.

Mam Asus (10.8.0.1) s openvpn siti 10.8.0.4/10.8.0.20, v nastaveni server.conf mam povolene videni klientu:
client-to-client

1. Jde nejak v uzivateskem firewallu pomoci iptables omezit vzajemnou aktivitu klientu? Napr. 10.8.0.4 se nedostal do boxu pres telnet, web rozhrani ... ostatnich?
2. Pokud bych tu moznost uzavrel, tak mi jeste stale zustava pomerne otevreny router 10.8.0.1 a navic prijdu o moznost pohodlne jako klient na PC zasahovat do sveho boxu.

Zatim jsem pouze uzavrel pristup do sdilenych adresaru na FTP (samba) v smb.conf a dokazu zamezit prihlaseni do openvpn z IP :
iptables -A input_rule -i $WAN -p tcp --dport 1689 -j DROP -s 212.212.212.80

Po prihlaseni klienta se mi nedari nastavit zadna pravidla.

Dik

PS:. Neni to uplne ve sparvnem vlaknu, lepsi jsem nenasel.

diky, poptam se. Treba ma nekdo openvpn server na dreamboxu a pouziva iptables firewall a podeli se i tady.

Původně odeslal vld75

diky, poptam se. Treba ma nekdo openvpn server na dreamboxu a pouziva iptables firewall a podeli se i tady.

Zkus spis popsat ceho chces dosahnout.

V podstate mam 2 varianty:
1. Routr 10.8.0.1 - server openvpn a newcs - klienti:
- ipbox1 10.8.0.4 s kartou pripojuje se k routru 10.8.0.1
- ipbox2 10.8.0.6 - pripojuje se k 10.8.0.1 a 10.8.0.4
- PC 10.8.0.8 - dela udrzbu pro box1 a box2
nastaveni client-to-client mam aby fungovalo sdileni mezi boxem1 a boxem2 a mohl jsem se dostat z PC telnetem, FTP a webrozhranim do boxu.

Existuje moznost ovlivnit komunikaci klientu na routru? Jdou informace pres server openvpn? a pokud ne pak udelat jednotlive firewally

Box1 nastavit pristup pouze pro 10.8.0.8 a z 10.8.0.6 na port karty a pristup na newcs na routru 10.8.0.1 a z lokalni site 192.168.1.xxx
Box2 nastavit pristup z 10.8.0.8 a povolit pripojeni k routru 10.8.0.1 a z lokolani site 192.168.1.xxx
PC - uzavreni vseho, nejaky vhodny firewall - pro XP?
Routr - povolit pouze porty newcs, zakazat klientum vse ostatni.

2. Udelat newcs misto routru na Dreamboxu (ipboxu 250?) - Phoenix je USB
s openvpn omezit vstup jednotlivych klientu a tady vyuzit treba CCcam k preposlani karty mimo mezi kliety 10.8.0.4 a 6. Vybudovat firewall pro pristup podle portu a prav.

Varianta 1 - je pro me lepsi, protoze nepredstavuje zadnou investici. Kdybych nasel emulator, ktery umi jako CCcam preposlat info, tak bych zakazal videni klientu i za cenu ztraty kontroly z PC. Tudy ceta nevede, zadny jsem na Asus nenasel. Takze postavit firewall na routru a asi u kazdeho klienta
Varianta 2 - investice do dreamboxu a postaveni firewallu.

Snazim se trochu zorientovat, protoze jsem sice vytvoril vpn sit, ale kazdy muze v podstate vse.

Ahoj,
skus si pozriet toto. http://openvpn.net/howto.html#policy
Myslim, ze by si mal urobit routrovanu siet a tam kde mas openvpn server nastavit pravidla cez iptables.