Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
PSdok
- ст. сержант
- Сообщения: 359
- Зарегистрирован: 2006-10-05 18:27:56
- Откуда: Нижний НОвгород
Непрочитанное сообщение
PSdok » 2011-08-02 0:01:53
Поднял на VDS сервере OpenVPN.
Код: Выделить всё
cat server.conf
proto tcp-server
port 1194
dev tun
server 10.7.0.0 255.255.0.0
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta-vds.key 0
tls-timeout 120
auth MD5
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
client-config-dir /usr/local/etc/openvpn/ccd
ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt 0
client-to-client
status /home/sector/data/logs/openvpn-status.log
log /home/sector/data/logs/openvpn.log
max-clients 100
comp-lzo
keepalive 60 120
verb 3
crl-verify /usr/local/etc/openvpn/crl.pem
все работает.
Получилось что то вроде большого виртуального свича.
Все клиенты подключаются, получают адреса. Терминальный сервер тоже также подключается.
Клиенты заходят на него на адрес 10.7.0.18
Но появилась проблема.
Мне нужно чтобы через OPenVPN были открыты только порт 3389 и закрыты 135-139. (а то пользователь, если знает адрес другого пользователя, может зайти в расшареную папку).
Последний раз редактировалось
f_andrey 2011-08-02 0:23:59, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
PSdok
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
uderik
- рядовой
- Сообщения: 35
- Зарегистрирован: 2007-10-24 12:15:47
Непрочитанное сообщение
uderik » 2011-08-02 0:33:50
хотел написать сложно, но перечитав твой пост понял, что тебе надо просто )
добавляешь правила в firewall:
ipfw add allow ip from 10.7.0.18 to any keep-state // разрешаем все для 10.7.0.18
ipfw add allow tcp from 10.7.0.0/16 to 10.7.0.18 3389 keep-state // разрешаем только порт 3389 для vpn сети
ipfw add deny all from 10.7.0.0/16 to any // запрещаем все для vpn сети
uderik
-
PSdok
- ст. сержант
- Сообщения: 359
- Зарегистрирован: 2006-10-05 18:27:56
- Откуда: Нижний НОвгород
Непрочитанное сообщение
PSdok » 2011-08-02 6:41:48
пробовал.
пакеты в эти правила не попадают.
Покопался в гугле.
Походе что пакеты предаются внутри openvpn и когда включен
из него не выходят.
Голову сломал.
PSdok
-
PSdok
- ст. сержант
- Сообщения: 359
- Зарегистрирован: 2006-10-05 18:27:56
- Откуда: Нижний НОвгород
Непрочитанное сообщение
PSdok » 2011-08-04 22:10:11
Решение .
Удалил из server.conf
Добавил в server.conf
добавил в /etc/sysctl.conf (!!!)
добавил в /etc/rc.firewall
Код: Выделить всё
#--RDP
${fwcmd} add allow all from 10.7.0.0/16 to 10.7.0.18 3389
${fwcmd} add allow all from 10.7.0.18 3389 to 10.7.0.0/16
#--Radmin
${fwcmd} add allow all from any to any 4899
${fwcmd} add allow all from any 4899 to any
#----
${fwcmd} add deny log from 10.7.0.0/16 to 10.7.0.0/16
PSdok