Закрыть порты в OpenVPN

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
PSdok
ст. сержант
Сообщения: 359
Зарегистрирован: 2006-10-05 18:27:56
Откуда: Нижний НОвгород

Закрыть порты в OpenVPN

Непрочитанное сообщение PSdok » 2011-08-02 0:01:53

Поднял на VDS сервере OpenVPN.

Код: Выделить всё

cat server.conf
proto tcp-server
port 1194
dev tun
server 10.7.0.0 255.255.0.0
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta-vds.key 0
tls-timeout 120
auth MD5
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
client-config-dir /usr/local/etc/openvpn/ccd
ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt 0
client-to-client
status /home/sector/data/logs/openvpn-status.log
log /home/sector/data/logs/openvpn.log
max-clients 100
comp-lzo
keepalive 60 120
verb 3
crl-verify /usr/local/etc/openvpn/crl.pem

все работает.
Получилось что то вроде большого виртуального свича.
Все клиенты подключаются, получают адреса. Терминальный сервер тоже также подключается.
Клиенты заходят на него на адрес 10.7.0.18

Но появилась проблема.
Мне нужно чтобы через OPenVPN были открыты только порт 3389 и закрыты 135-139. (а то пользователь, если знает адрес другого пользователя, может зайти в расшареную папку).
Последний раз редактировалось f_andrey 2011-08-02 0:23:59, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: Закрыть порты в OpenVPN

Непрочитанное сообщение uderik » 2011-08-02 0:33:50

хотел написать сложно, но перечитав твой пост понял, что тебе надо просто )

добавляешь правила в firewall:
ipfw add allow ip from 10.7.0.18 to any keep-state // разрешаем все для 10.7.0.18
ipfw add allow tcp from 10.7.0.0/16 to 10.7.0.18 3389 keep-state // разрешаем только порт 3389 для vpn сети
ipfw add deny all from 10.7.0.0/16 to any // запрещаем все для vpn сети

PSdok
ст. сержант
Сообщения: 359
Зарегистрирован: 2006-10-05 18:27:56
Откуда: Нижний НОвгород

Re: Закрыть порты в OpenVPN

Непрочитанное сообщение PSdok » 2011-08-02 6:41:48

пробовал.
пакеты в эти правила не попадают.
Покопался в гугле.
Походе что пакеты предаются внутри openvpn и когда включен

Код: Выделить всё

client-to-client
из него не выходят.
Голову сломал. :st:

PSdok
ст. сержант
Сообщения: 359
Зарегистрирован: 2006-10-05 18:27:56
Откуда: Нижний НОвгород

Re: Закрыть порты в OpenVPN

Непрочитанное сообщение PSdok » 2011-08-04 22:10:11

Решение .
Удалил из server.conf

Код: Выделить всё

client-to-client
Добавил в server.conf

Код: Выделить всё

    push "route 10.7.0.0 255.255.0.0"
добавил в /etc/sysctl.conf (!!!)

Код: Выделить всё

    net.inet.ip.forwarding=1

добавил в /etc/rc.firewall

Код: Выделить всё

   #--RDP
            ${fwcmd} add allow all from 10.7.0.0/16  to 10.7.0.18 3389
            ${fwcmd} add allow all from 10.7.0.18 3389  to  10.7.0.0/16
    #--Radmin
            ${fwcmd} add allow all from any  to any 4899
            ${fwcmd} add allow all from any 4899 to any
    #----
            ${fwcmd} add deny log  from 10.7.0.0/16 to 10.7.0.0/16