Am un bastion server care rulează openvpn pe portul 7777. Fiecare client openvpn are un ip static fixat pentru el. eu folosesc iptables pentru a defini pe ce rute poate merge un client.
Serverul meu rulează și ssh pe portul 22.
primul meu client este un client unic pentru că are acces peste tot. Adresa lui IP fixă este 10.8.0.1. De asemenea, acest client poate conecta SSH, folosind ip-ul intern al mașinii, pentru a obține controlul ssh pe mașină.
Deci, am încercat acest set de reguli:
#!/bin/sh
# spălați totul
iptables -F
iptables -X
# Setarea politicii implicite de filtrare
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Permite trafic nelimitat pe loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A IEȘIRE -o lo -j ACCEPT
#permite ssh
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NOU,STABILIT -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
#allow openvpn
iptables -A INPUT -p udp --dport 7777 -m conntrack --ctstate NEW,STABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 7777 -m conntrack --ctstate ESTABLISHED -j ACCEPT
# Permite peste tot pentru clientul `10.8.0.1`
iptables -A FORWARD --source 10.8.0.1 -j ACCEPT
iptables -A FORWARD --destinație 10.8.0.1 -j ACCEPT
Problema cu care mă confrunt este că 10.8.0.1 faceți totul în rețea, cu excepția realizării de noi conexiuni SSH la bastion mașinărie. Conexiunea ssh existentă rămâne fără probleme, chiar și după configurarea acestor reguli.
De ce?
