nu înțeleg cum blochează smb pe lan virtual. Lan virtual 10.10.10.0/24. Eu folosesc UFW
/etc/ipsec.conf
configurare
charondebug="ike 1, knl 1, cfg 0"
uniceids=nu
conn ikev2-vpn
auto=adăugați
compresa=nu
tip=tunel
keyexchange=ikev2
fragmentare=da
forcecaps=da
dpdaction=clear
dpddelay=300s
rekey=nu
stânga=%oricare
leftid=@server_domain_or_IP
leftcert=server-cert.pem
leftsendcert=intotdeauna
leftsubnet=0.0.0.0/0
dreapta=%oricare
rightid=%orice
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
dreapta=8.8.8.8,8.8.4.4
rightsendcert=niciodată
eap_identity=%identitate
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp10214-modpdes1-sha1024-3!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
/etc/ufw/before.rules
# reguli.înainte
#
# Reguli care ar trebui să fie rulate înainte ca linia de comandă ufw să adauge reguli. Personalizat
# reguli ar trebui adăugate la unul dintre aceste lanțuri:
# ufw-înainte de intrare
# ufw-înainte-ieșire
# ufw-înainte-înainte
#
*nat
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACC>
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT
*calandru
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp>
COMMIT
# Nu ștergeți aceste linii obligatorii, altfel vor apărea erori
*filtru
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# Încheiați liniile necesare
-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10>
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.1>
# permite totul în loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# procesează rapid pachetele pentru care avem deja o conexiune
-A ufw-before-input -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
# drop pachete INVALIDE (înregistrează-le la nivel mediu de jurnal și mai sus)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
# coduri icmp ok pentru INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-depassed -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parametru-problema -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
# ok cod icmp pentru FORWARD
-A ufw-before-forward -p icmp --icmp-type destinație-inaccesibil -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-depășit -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parametru-problema -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT
# permite clientului dhcp să funcționeze
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT
#
# ufw-nu-local
#
-A ufw-înainte de intrare -j ufw-nu-local
# dacă LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
# dacă MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
# dacă se difuzează, se întoarce
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
# toate celelalte pachete non-locale sunt abandonate
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-Un ufw-nu-local -j DROP
# permiteți MULTICAST mDNS pentru descoperirea serviciului (asigurați-vă că linia MULTICAST de mai sus
# este necomentat)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
# permiteți MULTICAST UPnP pentru descoperirea serviciului (asigurați-vă că linia MULTICAST de mai sus
# este necomentat)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT
# nu ștergeți linia „COMMIT” sau aceste reguli nu vor fi procesate
COMMIT
