|
|
|
||||||
| Registrovat | Downloady | Statistiky | FAQ | Seznam členů | Sociální skupiny | Kalendář | Hledat | Dnešní přispěvky | Označit témata jako přečtená |
| DreamBox + Asus500g + ET CDMA Testy, info, zkušenosti, upravený Firmware |
 |
|
|
LinkBack | Nástroje témat | Prohledat toto téma | Režim zobrazení |
12.04.2007, 08:19
|
#1 (permalink) | ||||||||
|
Registrovaný uživatel
Junior Member
Založen: 29.07.2006
Bydliště: ipbox
Příspěvky: 142
Kreditů: 2 133
Downloady: 3
Uploady: 0
Poděkoval: 0
Poděkování 1 krát v 1 příspěvku
 |
Firewall, iptables, openvpn
Ahoj,
neporadil by nekdo s nastavenim firewall u Asus500, popr. v dreamboxu. Nevim presne jak trpaslici nosi 1 a 0 v paketech a kam, takze mi skoro nic nefunguje. Teda funguje az moc. Mam Asus (10.8.0.1) s openvpn siti 10.8.0.4/10.8.0.20, v nastaveni server.conf mam povolene videni klientu: client-to-client 1. Jde nejak v uzivateskem firewallu pomoci iptables omezit vzajemnou aktivitu klientu? Napr. 10.8.0.4 se nedostal do boxu pres telnet, web rozhrani ... ostatnich? 2. Pokud bych tu moznost uzavrel, tak mi jeste stale zustava pomerne otevreny router 10.8.0.1 a navic prijdu o moznost pohodlne jako klient na PC zasahovat do sveho boxu. Zatim jsem pouze uzavrel pristup do sdilenych adresaru na FTP (samba) v smb.conf a dokazu zamezit prihlaseni do openvpn z IP : iptables -A input_rule -i $WAN -p tcp --dport 1689 -j DROP -s 212.212.212.80 Po prihlaseni klienta se mi nedari nastavit zadna pravidla. Dik PS:. Neni to uplne ve sparvnem vlaknu, lepsi jsem nenasel. |
||||||||
|
       
|
|
12.04.2007, 09:50
|
#2 (permalink) | ||||||||
|
Super Moderator
Owner
Založen: 11.03.2002
Bydliště: Czech Republic
Příspěvky: 1 407
Kreditů: 61 678
Downloady: 20
Uploady: 54
Poděkoval: 25
Poděkování 18 krát v 17 příspěvcích
|
Doporucuji ti se zeptat nejspis zde http://koppel.cz/conferences/
__________________
VU DUO PVR HD & DREAMBOX DM7020S v3 Humax IRCI5400 +CAM ToH3.7 Nokia 9600 + DVB2000 v1.82.0v_ NoOneManIt v1.3h Up / Download pro DREAMBOX |
||||||||
|
|
|
|
12.04.2007, 10:35
|
#3 (permalink) | ||||||||
|
Registrovaný uživatel
Junior Member
Založen: 29.07.2006
Bydliště: ipbox
Příspěvky: 142
Kreditů: 2 133
Downloady: 3
Uploady: 0
Poděkoval: 0
Poděkování 1 krát v 1 příspěvku
|
diky, poptam se. Treba ma nekdo openvpn server na dreamboxu a pouziva iptables firewall a podeli se i tady.
|
||||||||
|
|
|
|
12.04.2007, 13:40
|
#4 (permalink) | |||||||||
|
Registrovaný uživatel
Junior Member
Založen: 26.03.2002
Příspěvky: 702
Kreditů: 19 838
Downloady: 0
Uploady: 0
Poděkoval: 1
Poděkování 8 krát v 2 příspěvcích
|
Citace:
|
|||||||||
|
|
|
|
12.04.2007, 15:04
|
#5 (permalink) | ||||||||
|
Registrovaný uživatel
Junior Member
Založen: 29.07.2006
Bydliště: ipbox
Příspěvky: 142
Kreditů: 2 133
Downloady: 3
Uploady: 0
Poděkoval: 0
Poděkování 1 krát v 1 příspěvku
|
V podstate mam 2 varianty:
1. Routr 10.8.0.1 - server openvpn a newcs - klienti: - ipbox1 10.8.0.4 s kartou pripojuje se k routru 10.8.0.1 - ipbox2 10.8.0.6 - pripojuje se k 10.8.0.1 a 10.8.0.4 - PC 10.8.0.8 - dela udrzbu pro box1 a box2 nastaveni client-to-client mam aby fungovalo sdileni mezi boxem1 a boxem2 a mohl jsem se dostat z PC telnetem, FTP a webrozhranim do boxu. Existuje moznost ovlivnit komunikaci klientu na routru? Jdou informace pres server openvpn? a pokud ne pak udelat jednotlive firewally Box1 nastavit pristup pouze pro 10.8.0.8 a z 10.8.0.6 na port karty a pristup na newcs na routru 10.8.0.1 a z lokalni site 192.168.1.xxx Box2 nastavit pristup z 10.8.0.8 a povolit pripojeni k routru 10.8.0.1 a z lokolani site 192.168.1.xxx PC - uzavreni vseho, nejaky vhodny firewall - pro XP? Routr - povolit pouze porty newcs, zakazat klientum vse ostatni. 2. Udelat newcs misto routru na Dreamboxu (ipboxu 250?) - Phoenix je USB s openvpn omezit vstup jednotlivych klientu a tady vyuzit treba CCcam k preposlani karty mimo mezi kliety 10.8.0.4 a 6. Vybudovat firewall pro pristup podle portu a prav. Varianta 1 - je pro me lepsi, protoze nepredstavuje zadnou investici. Kdybych nasel emulator, ktery umi jako CCcam preposlat info, tak bych zakazal videni klientu i za cenu ztraty kontroly z PC. Tudy ceta nevede, zadny jsem na Asus nenasel. Takze postavit firewall na routru a asi u kazdeho klienta  Varianta 2 - investice do dreamboxu a postaveni firewallu. Snazim se trochu zorientovat, protoze jsem sice vytvoril vpn sit, ale kazdy muze v podstate vse. |
||||||||
|
|
|
|
12.04.2007, 22:44
|
#6 (permalink) | ||||||||
|
Registrovaný uživatel
Junior Member
Založen: 12.04.2007
Příspěvky: 4
Kreditů: 60
Downloady: 0
Uploady: 0
Poděkoval: 0
Poděkování 0 krát v 0 příspěvcích
|
Ahoj,
skus si pozriet toto. http://openvpn.net/howto.html#policy Myslim, ze by si mal urobit routrovanu siet a tam kde mas openvpn server nastavit pravidla cez iptables. |
||||||||
|
|
|
|
13.04.2007, 07:20
|
#7 (permalink) | ||||||||
|
Registrovaný uživatel
Junior Member
Založen: 29.07.2006
Bydliště: ipbox
Příspěvky: 142
Kreditů: 2 133
Downloady: 3
Uploady: 0
Poděkoval: 0
Poděkování 1 krát v 1 příspěvku
|
Diky, tohle vypada zajimeve -zatim jsem mel u servru:
server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/ipp.txt a klienta: pull Podle navodu, kdyz to hodne prezenu, bych teoreticky mohl vytvorit kazdemu klientovi subnet, aby tam mohl mit box (popr. PC) a pak jednoho Super Admina. Pr: admin 10.8.1.0 PC - pristup do subnetu klientu klient1 10.8.2.0/4 PC, box - pristup ve vl. subnetu + port klienta2, port admina klient2 10.8.3.0/4 Pc,box - pristup vl. subnet + port admina V nastveni adresare ccd predpokladam, ze budou nazvy klientu a jejich udaj ifconfig-push 10.8.2.1 10.8.2.2 a u klientu zustane prikaz pull Na openvpn servru povolim iptabels pristup mezi subnety klientu iptables -A FORWARD -i tun0 -s 10.8.2.2 -d 10.8.3.2 --dport 10110 -j ACCEPT + nejake dalsi iptables U nastaveni firewallu v ve vpn se, ale pise: # Suppose that you want to enable different # firewall access policies for different groups # of clients. There are two methods: # (1) Run multiple OpenVPN daemons, one for each # group, and firewall the TUN/TAP interface # for each group/daemon appropriately. # (2) (Advanced) Create a script to dynamically # modify the firewall in response to access # from different clients. See man # page for more info on learn-address script. ;learn-address ./script Priklad v OpenVpn howto je uveden pro pristup do lokalniho subnetu mimo vpn. Otazka je jestli se to podobne chova i v ramci jedne vpn site a jednotlivych subnetu klientu , nebo se mi zase vzajemne vsichni uvidi.
Naposledy upravil vld75 : 13.04.2007 v 08:16 |
||||||||
|
|
|
|
| Záložky |
| Klíčová slova |
| firewall, iptables, openvpn |
| Aktuálně aktivní uživatelé prohlížející toto téma: 1 (0 registrovaných a 1 anonymních) | |
| Nástroje témat | Prohledat toto téma |
| Režim zobrazení | |
|
|
Podobná témata
|
||||
| Téma | Zakladatel tématu | Sekce | Odpověďmi | Poslední příspěvek |
| Firewall And Dm 7020 | kazannova | DreamBox - Firmware/Software/Hardware | 0 | 18.02.2007 18:58 |
| DB a Kerio firewall | airjet | DreamBox - Firmware/Software/Hardware | 2 | 05.08.2005 21:59 |
| Firewall na Dreamboxe | kertai | DreamBox - Firmware/Software/Hardware | 0 | 31.08.2004 14:41 |
| CardSharing Firewall Plugin | sath*ck | DreamBox - Firmware/Software/Hardware | 0 | 24.03.2004 22:39 |
Lineární režim
