iptables - permițând accesul la un singur port pe o subrețea diferită

Turnspit

06.11.2022, 07:46

Am un server OpenVPN în funcțiune, care în prezent permite direcționarea întregului trafic între VPN (10.8.0.0/24) și rețeaua LAN (192.168.2.0/24). Iptable-urile mele arată astfel:

iptables -t filtru -F
iptables -t nat -F
iptables -A FORWARD -m stare --state RELATED,STABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -j RESPING
iptables -t nat -A POSTROUTING -s '10.8.0.0/24' -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.2.26
iptables -t nat -A POSTROUTING -s '192.168.2.0/24' -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o tun0 -j SNAT --to-source 10.8.0.1

192.168.2.26 și 10.8.0.1 sunt interfețele de pe serverul VPN.

Acum caut să-l restrâng puțin și să permit doar ținte specifice pentru anumiți utilizatori. Un exemplu:

Vreau ca utilizatorul cu IP 10.8.0.10 să aibă acces doar la 192.168.2.100 pe portul 8080 și nimic altceva în subrețeaua LAN. După tone de căutare pe Google, am încercat câteva combinații sălbatice de SNAT și DNAT, dar nu am găsit soluția.

Cum pot implementa scenariul de mai sus?

139

1 + 0

iptables

truecrypt

Puncte:1

Server

Turnspit

09.11.2022, 04:53

Așa că am găsit o soluție pentru problema mea, în cazul în care cineva are nevoie și dă peste asta:

Am renunțat la iptables și am luat ufw.

/etc/sysctl.conf:

net.ipv4.ip_forward=1

/etc/default/ufw:

DEFAULT_FORWARD_POLICY="DROP"

/etc/ufw/before.rules:

# START REGULILE OPENVPN
# reguli de masă NAT
*nat
: POSTROUTING ACCEPT [0:0]
# Permite traficul între OpenVPN și LAN
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0 -o tun0 -j MASQUERADE
COMMIT
# Terminați REGULILE OPENVPN

În acest fel, totul este configurat pentru rutare și redirecționare, fără a redirecționa nimic până acum, datorită politicii implicite de „drop”.

Pentru a direcționa IP-ul unic către un Port pe un alt IP al unei subrețele diferite, așa cum este descris în întrebare, trebuia pur și simplu să rulez următorul set de reguli:

ruta sudo ufw permite intrarea pe tun0 pe eth0 la 192.168.2.100 proto tcp portul 8080 de la 10.8.0.10

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: iptables - allowing access to only a single port on different subnet

TH: iptables - อนุญาตให้เข้าถึงเพียงพอร์ตเดียวบนเครือข่ายย่อยที่แตกต่างกัน

RO: iptables - permițând accesul la un singur port pe o subrețea diferită

RU: iptables - разрешить доступ только к одному порту в другой подсети

VI: iptables - chỉ cho phép truy cập vào một cổng duy nhất trên mạng con khác nhau

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.