Samba+iptables+VPN=?

[dipa]

Доброго времени суток уважаемые убунтоводы!
От приветствия перейду сразу к делу! На работе настроен и работает ubuntu server 10.04. Этот же сервер успешно раздаёт интернет в сеть, также на нём крутится Самба-шары пользователей, + к этому серверу имеется доступ из вне по средством VPN. Доступ к серверу фильтруется средствами iptables. Вопрос следующего плана, как подключившись к серверу по VPN получить доступ к шарам пользователей и возможно ли это без особых извращений?

Вот правила фаервола:

(Нажмите, чтобы показать/скрыть)

#очистим все таблицы
iptables -F
#Разрешим общение для локальной петли (интерфейс lo):
iptables -A INPUT -i lo -j ACCEPT
#Разрешим доступ по портам
#ssh
iptables -A INPUT -p tcp --dport 1216 -j ACCEPT
#web
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#vpn
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT


#Разрешим полный доступ из локальной сети (интерфейс eth0, сеть-источник 192.168.1.0/24):
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
#iptables -A INPUT -i eth3 -s 192.168.1.0/24 -j ACCEPT
#Разрешим поддерживать уже установленные соединения (состояния соединений RELATED,ESTABLISHED):
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Установим запрещающее правило по умолчанию для цепочки, т.е. запрещаем всё, что не разрешено:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -F -t nat

#Обеспечим прозрачный доступ машинам из локальной сети (192.168.1.0/24) во внешнюю сеть, причём с интернетом соединён eth1 интерфейс шлюза:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

[AnrDaemon]

Покажите, пожалуйста ПРАВИЛА, а не скрипт, неизвестно что делающий.
iptables-save

В общем случае, проблемы с доступом быть не должно. Особенно к самому серверу.

[AlDemin]

Добавь разрешающее правило:
iptables -A INPUT -i ppp+ -j ACCEPT
или так:
iptables -A INPUT -s x.x.x.x/x -j ACCEPT
где x.x.x.x/x подсеть VPN клиентов.

[AnrDaemon]

Не должно быть никаких "подсетей VPN клиентов" при использовании proxyarp.

[dipa]

Покажите, пожалуйста ПРАВИЛА, а не скрипт, неизвестно что делающий.
iptables-save

В общем случае, проблемы с доступом быть не должно. Особенно к самому серверу.

К самому серверу доступ есть, получается такая картина что при подключении VPN клиенты не имеют доступа к серверу, тоесть внутренняя сеть вся пингуется нормально и есть доступ, а вот пинг к серверу с шарами не проходит(он же ВПН-сервер через который все подключатся к сети) и соответственно доступа к нему нету. :-(

Вот iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sun Mar 11 11:04:29 2012
*filter
:INPUT DROP [63:4245]
:FORWARD ACCEPT [13630:4859736]
:OUTPUT ACCEPT [1979:915383]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1216 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49152:49200 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 49152:49200 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.5/32 -p tcp -m tcp --dport 80 -j DROP
-A FORWARD -s 192.168.0.3/32 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 91.198.14.26/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 13.13.40.11/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 217.74.38.68/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 193.124.133.119/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 217.74.38.70/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 87.250.250.11/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 87.250.251.11/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 93.158.134.11/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 213.180.193.11/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 213.180.204.11/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 77.88.21.11/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 209.85.173.94/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -d 13.16.33.173/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -p tcp -j DROP
-A FORWARD -s 217.20.147.94/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.54/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.55/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.48/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.49/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.50/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.51/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.52/32 -p tcp -j DROP
-A FORWARD -s 217.20.154.53/32 -p tcp -j DROP
COMMIT
# Completed on Sun Mar 11 11:04:29 2012
# Generated by iptables-save v1.4.4 on Sun Mar 11 11:04:29 2012
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Mar 11 11:04:29 2012
# Generated by iptables-save v1.4.4 on Sun Mar 11 11:04:29 2012
*nat
:PREROUTING ACCEPT [135867:9789660]
:POSTROUTING ACCEPT [36086:2458576]
:OUTPUT ACCEPT [80370:5907314]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.110:3389
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sun Mar 11 11:04:29 2012

[AnrDaemon]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Поставить в начало списка. Для кого тема "iptables для новичков" висит? Хотя бы сами iptables -vL запустите и посмотрите на счётчики. Правила с наибольшим счётчиком должны быть первыми, чтобы уменьшить время обработки, если это не нарушает логики работы фильтра.

Цепочку FORWARD разобрать на две, это как минимум. Лучше на три.
И показывайте настройки VPN сервера, без них непонятно, куда смотреть в правилах.

[dipa]

И показывайте настройки VPN сервера, без них непонятно, куда смотреть в правилах.

Вот они:

/etc/ppp/pptpd-options

(Нажмите, чтобы показать/скрыть)

name pptpd
refuse-pap
refuse-chap
require-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.0.155
proxyarp
nodefaultroute
lock
nobsdcomp
#IPX (todo)
ipx
ipx-network 4
ipx-node 1:0
ipx-routing 2
ipx-router-name Linux_router
ipxcp-accept-remote

/etc/pptpd.conf

(Нажмите, чтобы показать/скрыть)

logwtmp
localip 192.168.0.155
remoteip 192.168.0.200-205

Цепочку FORWARD разобрать на две, это как минимум. Лучше на три.

Извините за нубизьм, а это как?

[fisher74]

Добавь разрешающее правило:
iptables -A INPUT -i ppp+ -j ACCEPT

Это, конечно, атас... Одним правило к чертям всю защиту шлюза. Ничего, что интернет приходит по ppp0?

По теме
Самое простое добавить пару правил:

Код: [Выделить]

-A INPUT -s 192.168.0.0/24 -i ppp0 -j DROP
-A INPUT -s 192.168.0.0/24 -i ppp+ -j ACCEPT

[dipa]

По теме
Самое простое добавить пару правил:

Код: [Выделить]

-A INPUT -s 192.168.0.0/24 -i ppp0 -j DROP
-A INPUT -s 192.168.0.0/24 -i ppp+ -j ACCEPT

Да действительно помогли данные мантры iptables! Спасибо большое fisher74! А я пошел учить наизусть манны по iptables.

з.ы. Тему можно закрывать!

[fisher74]

netfilter надо не учить наизусть, а понять как работают.
Сам много лет считал познание его достижимым только для гуру (да и не сильно надо было).
Но разок приспичило, сел и ... озарение нашло. Не скажу, что я прямо супер-пупер - не разберусь в тонкостях, так костылём снабжу

[AlDemin]

fisher74,

Это, конечно, атас... Одним правило к чертям всю защиту шлюза. Ничего, что интернет приходит по ppp0?

Это сбило с мысли:

#Обеспечим прозрачный доступ машинам из локальной сети (192.168.1.0/24) во внешнюю сеть, причём с интернетом соединён eth1 интерфейс шлюза:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

в коментарии eth1 а в правиле маскарадинга ppp0.

[dipa]

netfilter надо не учить наизусть, а понять как работают.
Сам много лет считал познание его достижимым только для гуру (да и не сильно надо было).
Но разок приспичило, сел и ... озарение нашло. Не скажу, что я прямо супер-пупер - не разберусь в тонкостях, так костылём снабжу

Вот за снабжение такими "костылями" и огромное человеческое спасибо! В принципе суть работы нетфильтра я понимаю, но я использую его не очень широко, и по этому некоторых тонкостей я не знаю, вот и обращаюсь к более опытным товарищам!

fisher74,

Это, конечно, атас... Одним правило к чертям всю защиту шлюза. Ничего, что интернет приходит по ppp0?

Это сбило с мысли:

#Обеспечим прозрачный доступ машинам из локальной сети (192.168.1.0/24) во внешнюю сеть, причём с интернетом соединён eth1 интерфейс шлюза:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

в коментарии eth1 а в правиле маскарадинга ppp0.

Эт да. Брал правила с одного сайта и правила под себя, а коменты остались от афтора. Извиняюсь за введение в заблуждение.