forum.lissyara.su

Русские солдаты не умирают - они отсутпают в рай, на перегруппировку
https://forum.lissyara.su/

Закрыть порты в OpenVPN

https://forum.lissyara.su/viewtopic.php?f=53&t=33630

Страница 1 из 1

Закрыть порты в OpenVPN

Добавлено: 2011-08-02 0:01:53
PSdok
Поднял на VDS сервере OpenVPN.

Код: Выделить всё

cat server.conf
proto tcp-server
port 1194
dev tun
server 10.7.0.0 255.255.0.0
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta-vds.key 0
tls-timeout 120
auth MD5
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
client-config-dir /usr/local/etc/openvpn/ccd
ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt 0
client-to-client
status /home/sector/data/logs/openvpn-status.log
log /home/sector/data/logs/openvpn.log
max-clients 100
comp-lzo
keepalive 60 120
verb 3
crl-verify /usr/local/etc/openvpn/crl.pem
все работает.
Получилось что то вроде большого виртуального свича.
Все клиенты подключаются, получают адреса. Терминальный сервер тоже также подключается.
Клиенты заходят на него на адрес 10.7.0.18

Но появилась проблема.
Мне нужно чтобы через OPenVPN были открыты только порт 3389 и закрыты 135-139. (а то пользователь, если знает адрес другого пользователя, может зайти в расшареную папку).

Re: Закрыть порты в OpenVPN

Добавлено: 2011-08-02 0:33:50
uderik
хотел написать сложно, но перечитав твой пост понял, что тебе надо просто )

добавляешь правила в firewall:
ipfw add allow ip from 10.7.0.18 to any keep-state // разрешаем все для 10.7.0.18
ipfw add allow tcp from 10.7.0.0/16 to 10.7.0.18 3389 keep-state // разрешаем только порт 3389 для vpn сети
ipfw add deny all from 10.7.0.0/16 to any // запрещаем все для vpn сети

Re: Закрыть порты в OpenVPN

Добавлено: 2011-08-02 6:41:48
PSdok
пробовал.
пакеты в эти правила не попадают.
Покопался в гугле.
Походе что пакеты предаются внутри openvpn и когда включен

Код: Выделить всё

client-to-client
из него не выходят.
Голову сломал. :st:

Re: Закрыть порты в OpenVPN

Добавлено: 2011-08-04 22:10:11
PSdok
Решение .
Удалил из server.conf

Код: Выделить всё

client-to-client
Добавил в server.conf

Код: Выделить всё

    push "route 10.7.0.0 255.255.0.0"
добавил в /etc/sysctl.conf (!!!)

Код: Выделить всё

    net.inet.ip.forwarding=1

добавил в /etc/rc.firewall

Код: Выделить всё

   #--RDP
            ${fwcmd} add allow all from 10.7.0.0/16  to 10.7.0.18 3389
            ${fwcmd} add allow all from 10.7.0.18 3389  to  10.7.0.0/16
    #--Radmin
            ${fwcmd} add allow all from any  to any 4899
            ${fwcmd} add allow all from any 4899 to any
    #----
            ${fwcmd} add deny log  from 10.7.0.0/16 to 10.7.0.0/16
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/