VPN сервер (pptpd) - ЗАПРЕТИТЬ доступ в интернет

[Yvgen]

В общем, есть такай вопрос.
Есть VPN сервер на основе pptpd.  (Ubuntu)
Все работает гуд.
Но вот вопрос.
При подключении клиента, на клиенте на секунду прерывается интернет, и дальше он (интернет) работает как бы через наш VPN сервер.
Т.е. когда они что то качают, то возрастает нагрузка на сервер.
Скажите, как при подключении VPN, вообще отключить интернет на клиентах (например, через iptables или pptpd) в настройках сервера.
Да, ip адреса выдаются определенные.
Т.е. есть пул адресов
Пользователь решил продолжить мысль 23 Декабря 2010, 14:13:38:Да, данный VPN сервер так же работает еще и интернет сервером в офисе.
Следовательно нужно закрыть доступ в интернет только IP адреса VPN-клиентов.

[fisher74]

Отключить дефолтовый шлюз через VPN клиенту

[Yvgen]

Отключить дефолтовый шлюз через VPN клиенту

ммм как?
Пользователь решил продолжить мысль 23 Декабря 2010, 15:37:40:

Код: [Выделить]

# Debian: do not replace the default route
nodefaultroute
в
/etc/ppp/pptpd-options

НЕ помогает

[djrust]

на win клиенте наверно в свойствах tcp/ip

На созданном ярлыке подключения ВПН
Сеть - протокол tcp/ip - Дополнительно - снимаешь галку

[fisher74]

Это делается у клиента. В окошках снимается галочка "Использовать основной шлюз в удалённой сети"
Ну и в качестве защиты перекрыть возможность выходить в интернет VPN-клиентам средствами iptables

Код: [Выделить]

sudo iptables -I FORWARD -s ip_range_vpn_clients -o ethXXX -j DROPКак-то так. Естественно зависит от интерфейса в интернет

[Yvgen]

Клиенты как раз и не win.  А Linux.
Но снимать галочку на клиенте - не вариант.
Ща попробую с iptables.
Пользователь решил продолжить мысль 23 Декабря 2010, 17:12:15:Не помогает.  
Если DNS прописаны на клиенте, интернет тоже есть.

[fisher74]

Бред. Если пакет прибить, то никакое знание DNS не поможет
Показывайте

Код: [Выделить]

ifconfig -a
route -n
sudo iptables-saveСкажите какой интерфейс смотрит в интернет и какой пул адресов используется для VPN-клиентов.

[Гарри Кашпировский]

Скажите, как при подключении VPN, вообще отключить интернет на клиентах (например, через iptables или pptpd) в настройках сервера.
Следовательно нужно закрыть доступ в интернет только IP адреса VPN-клиентов.

Через iptables вестимо.
Например вот так.

Код: [Выделить]

iprables -A FORWARD -i $WAN_IF -s $pptpaddr/$pptpmask -j DROP
iprables -A FORWARD -o $WAN_IF -d $pptpaddr/$pptpmask -j DROPА еще лучше, исключить диапазон pptp-адресов из таблицы nat файерволла.
К примеру

Код: [Выделить]

iptables -A POSTROUTING -o $WAN_IF ! -s $pptpaddr/$pptpmask -j MASQUERADE (или SNAT)

[Yvgen]

Бред. Если пакет прибить, то никакое знание DNS не поможет
Показывайте

Код: [Выделить]

ifconfig -a
route -n
sudo iptables-saveСкажите какой интерфейс смотрит в интернет и какой пул адресов используется для VPN-клиентов.

ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:0e:2e:9e:d2:72  
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe9e:d272/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:124524519 errors:0 dropped:0 overruns:0 frame:0
          TX packets:149501135 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1020206882 (1.0 GB)  TX bytes:2850402520 (2.8 GB)
          Interrupt:17 Base address:0xc800

eth2      Link encap:Ethernet  HWaddr 00:1f:c6:b5:c4:97  
          inet6 addr: fe80::21f:c6ff:feb5:c497/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:187052425 errors:0 dropped:0 overruns:0 frame:0
          TX packets:155313514 errors:0 dropped:0 overruns:0 carrier:8
          collisions:0 txqueuelen:1000
          RX bytes:1578366601 (1.5 GB)  TX bytes:2175554242 (2.1 GB)
          Память:dffc0000-e0000000

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:36720 errors:0 dropped:0 overruns:0 frame:0
          TX packets:36720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7134825 (7.1 MB)  TX bytes:7134825 (7.1 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:85.198.x.x  P-t-P:10.131.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:33099769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31735744 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1647096354 (1.6 GB)  TX bytes:2257138356 (2.2 GB)

ppp1      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:178.92.35.255  P-t-P:192.168.2.122  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1496  Metric:1
          RX packets:50581 errors:0 dropped:0 overruns:0 frame:0
          TX packets:46637 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:6731880 (6.7 MB)  TX bytes:3553412 (3.5 MB)

ppp2      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:178.92.35.255  P-t-P:192.168.2.114  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1496  Metric:1
          RX packets:479 errors:0 dropped:0 overruns:0 frame:0
          TX packets:310 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:178409 (178.4 KB)  TX bytes:164118 (164.1 KB)

route -n

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.122   0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
192.168.2.114   0.0.0.0         255.255.255.255 UH    0      0        0 ppp2
10.131.0.1      0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
85.198.x.x  0.0.0.0         255.255.255.255 UH    0      0        0 eth0                    тут мой внешний IP
192.168.2.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 ppp0
0.0.0.0         10.131.0.1      0.0.0.0         UG    0      0        0 ppp0

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Dec 23 17:16:02 2010
*nat
:PREROUTING ACCEPT [12898177:900397032]
:POSTROUTING ACCEPT [30496:2102632]
:OUTPUT ACCEPT [3226071:230962022]
-A POSTROUTING -o ppp0 -j SNAT --to-source 85.198.x.x
COMMIT
# Completed on Thu Dec 23 17:16:02 2010
# Generated by iptables-save v1.4.4 on Thu Dec 23 17:16:02 2010
*filter
:INPUT ACCEPT [27544125:4062898783]
:FORWARD ACCEPT [285575997:191079199435]
:OUTPUT ACCEPT [30879334:8721355081]
-A FORWARD -s 192.168.2.150/32 -o eth2 -j DROP
-A FORWARD -s 192.168.2.127/32 -o eth2 -j DROP
-A FORWARD -s 192.168.2.110/32 -o eth2 -j DROP
COMMIT
# Completed on Thu Dec 23 17:16:02 2010

в интернет смотрит eth2
пул
192.168.2.100-192.168.2.150

[Гарри Кашпировский]

Почему eth2, а не ppp0?

[Yvgen]

Почему eth2, а не ppp0?

?

[Гарри Кашпировский]

Судя по твоему ifconfig интерфейс смотрящий в Интернет - ppp0, по-видимому это PPPoE-соединение, но на eth2 вообще не сконфигурирован TCP/IP 4, он транспортный для ppp0. Однако в iptables у тебя фигурирует eth2, я и спросил: почему?

[fisher74]

Потому что я в примере указал eth. А ТС своей головой думать не хочет, хотя я и написал "зависит от интерфейса в интернет"

[Yvgen]

Судя по твоему ifconfig интерфейс смотрящий в Интернет - ppp0, по-видимому это PPPoE-соединение, но на eth2 вообще не сконфигурирован TCP/IP 4, он транспортный для ppp0. Однако в iptables у тебя фигурирует eth2, я и спросил: почему?

Все, теперь я понял.
И разобрался.  
Надо читать больше книг.  Спасибо.

sudo iptables -I FORWARD -s 192.168.2.100:192.168.2.150 -o ppp0 -j DROP
ругается...
Как правильно задавать диапазон?  Чтобы не по одному.
UPD
разобрался
вроде так:

Код: [Выделить]

sudo iptables -I FORWARD -m iprange --src-range 192.168.2.100-192.168.2.150 -o ppp0 -j DROPПользователь решил продолжить мысль 23 Декабря 2010, 18:55:38:

Потому что я в примере указал eth. А ТС своей головой думать не хочет, хотя я и написал "зависит от интерфейса в интернет"

У меня две сетевых карты, одна смотрит в локальную сеть, другая в инет.
Исключая eth0, я оставил eth2.
Ну и так же, потому, что IP адрес у нее как раз тот, что дал провайдер.
Я не знал, что eth2 служит транспортом.
Как то так, но в любом случае спасибо.

[fisher74]

Судя по ifconfig у eth2 IP-адреса вообще нет. И смотрит этот интерфейс не в интернет, а в провайдера, а вот ppp0, как раз в интернет. И адрес у него интернетовский.