openvpn маршрутизация

[AnrDaemon]

Вот DNAT тут вообще не в кассу.

[kostryukov]

Вот DNAT тут вообще не в кассу.

а как, почему prerouting?
нужно netmap использовать?

Пользователь решил продолжить мысль 14 Января 2013, 18:29:55:я так и не пойму, почему для сети 192.168.0.0/24 правило срабатывает, а для 192.168.1.0/24 нет.

Код: [Выделить]

/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 192.168.0.1

[fisher74]

Потому что пакеты предназначенные для сети 192.168.1.0/24 так же попадают под это условие. А действие является терминирующим, а посему на эти пакеты правило отрабатывает и прохождение цепочки PREROUTING таблицы nat завершается.
Чтобы это исключить и предлагалось ввести дополнительное условие, каковыми являются либо исходящий интерфейс (в Вашем случае не подошло из-за алиасов), либо фильтрация по destination-адресу.

А, вообще соглашусь с AnrDaemon, не совсем понятна необходимость использования двух подсетей в одной физической сети без тегирования. Может пересмотреть структуру сети и привести её к нормальному виду? Какой "бонус" Вы получаете таким разделением сетей?

[AnrDaemon]

fisher74, там вообще не надо ничего, а надо выправить маршрутизацию и убрать маскарад на VPN интерфейсе сервера, чтобы пакеты из 10/8 проходили в локальную сеть и обратно без проблем.

[fisher74]

Это я знаю. Но если хочется маскарад, дабы не знать кто там шустрит из VPN, то почему бы и нет?

[AnrDaemon]

Моё личное, маленькое и скромное ХО - надо от этого уходить. Если и не на ipv6, то на прозрачный роутинг хотя бы внутри своих собственных сетей. Так его проще контролировать.

[kostryukov]

Потому что пакеты предназначенные для сети 192.168.1.0/24 так же попадают под это условие. А действие является терминирующим, а посему на эти пакеты правило отрабатывает и прохождение цепочки PREROUTING таблицы nat завершается.
Чтобы это исключить и предлагалось ввести дополнительное условие, каковыми являются либо исходящий интерфейс (в Вашем случае не подошло из-за алиасов), либо фильтрация по destination-адресу.

А, вообще соглашусь с AnrDaemon, не совсем понятна необходимость использования двух подсетей в одной физической сети без тегирования. Может пересмотреть структуру сети и привести её к нормальному виду? Какой "бонус" Вы получаете таким разделением сетей?

Вот схематично, понятно что избавится от алиаса, а что еще исправить, как лучше?
сеть 192.168.0.0 не должна видеть сеть 192.168.1.0, и на оборот, за исключением маршрута Комп5 -> Комп3

fisher74, там вообще не надо ничего, а надо выправить маршрутизацию и убрать маскарад на VPN интерфейсе сервера, чтобы пакеты из 10/8 проходили в локальную сеть и обратно без проблем.

А что нужно выправить, подскажи ошибки.
убрать маскарад на впн, вот так?

Код: [Выделить]

iptables -A FORWARD -i tun0 -o ppp0 -j REJECT
iptables-save

Код: [Выделить]

*nat
:PREROUTING ACCEPT [21461:2093371]
:POSTROUTING ACCEPT [255:30481]
:OUTPUT ACCEPT [7454:528100]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 192.168.0.1
COMMIT
# Completed on Tue Jan 15 09:29:59 2013
# Generated by iptables-save v1.4.4 on Tue Jan 15 09:29:59 2013
*filter
:INPUT ACCEPT [40008:6884667]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [31801:5547052]
:fail2ban-ssh - [0:0]

-A FORWARD -d 192.168.0.2/32 -j ACCEPT
-A FORWARD -s 192.168.0.2/32 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -j ACCEPT
-A FORWARD -s 192.168.0.10/32 -j ACCEPT
-A FORWARD -d 192.168.0.20/32 -j ACCEPT
-A FORWARD -s 192.168.0.20/32 -j ACCEPT
-A FORWARD -o eth0 -j DROP
-A FORWARD -i tun0 -o ppp0 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Tue Jan 15 09:29:59 2013
# Generated by iptables-save v1.4.4 on Tue Jan 15 09:29:59 2013
*mangle
:PREROUTING ACCEPT [503796:385854049]
:INPUT ACCEPT [40596:6940114]
:FORWARD ACCEPT [458461:378338542]
:OUTPUT ACCEPT [32902:5657485]
:POSTROUTING ACCEPT [490532:383908428]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Jan 15 09:29:59 2013
Если я закрою вещание между сетями

Код: [Выделить]

iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROPто как мне дать доступ на Комп5 к принтеру на Комп3

[fisher74]

Кто мешает перед запрещающим правилом поставить разрешающее с соответсвующим фильтром?

Кстати, у Вас в правилах не наблюдается система.
Считается самым эффективным применение одного из принципов:
1. Запретить по дефолту всё, а в цепочках добавлять нужные разрешения
2. Разрешить всё по дефолту, а в цепочках добавлять запреты.
Причём, имхо, в случае брандмауэров лучше использовать первый вариант - меньше вариантов ошибиться.

[AnrDaemon]

kostrukov, при чём тут ppp0? ... Какой он имеет отношение к OpenVPN тоннелю или локальной сети?...
Возьмите лист бумаги, нарусуйте вашу сеть, проставьте везде адресацию и интерфейсы, и ищите, где у вас пакеты не ходят.
Пользователь решил продолжить мысль 16 Января 2013, 00:13:10:Начать с того, что

-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 192.168.0.1

Убрать нафиг.
Пользователь решил продолжить мысль 16 Января 2013, 00:24:07:*filter
:INPUT ACCEPT [40008:6884667]
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [31801:5547052]
:fwd-accept - [0:0]
:fail2ban-ssh - [0:0]

-A FORWARD -d 192.168.0.2/32 -j ACCEPT
-A FORWARD -s 192.168.0.2/32 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -j ACCEPT
-A FORWARD -s 192.168.0.10/32 -j ACCEPT
-A FORWARD -d 192.168.0.20/32 -j ACCEPT
-A FORWARD -s 192.168.0.20/32 -j ACCEPT
-A FORWARD -o eth0 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth0 -s 192.168.0.0/16 -j fwd-accept
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT
добавить правила для разрешения подключения к сервисам, типа OpenVPN
-A fwd-accept -s 192.168.0.2/32 -j ACCEPT
-A fwd-accept -s 192.168.0.10/32 -j ACCEPT
-A fwd-accept -s 192.168.0.20/32 -j ACCEPT
-A fail2ban-ssh -j RETURN вообще бесполезно, RETURN происходит по умолчанию. Если нужен чёрный список - добавляйте правила DROP
COMMIT

[kostryukov]

Спасибо большое.

правильно ли я поправил?

Код: [Выделить]

#Запрещаю все
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Создаю цепочку, проверка своих
iptables -N check_ours
#С других интерфейсов пакеты от них прийти не могут
iptables -A check_ours -i eth0 -j RETURN
iptables -A check_ours -j DROP

#Создаю цепочку проверки
iptables -N fwd-accept
#Проверка, Даю доступ в интернет следующим ip
iptables -A fwd-accept -s 192.168.0.2/32 -j RETURN
iptables -A fwd-accept -s 192.168.0.10/32 -j RETURN
iptables -A fwd-accept -s 192.168.0.20/32 -j RETURN
iptables -A fwd-accept -s 192.168.1.0/24 -j RETURN
iptables -A fwd-accept -j DROP


#разрешаю входящий траффик
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT

# Тех, кто претендует на звание своих, прогоняем через проверку
iptables -A INPUT -i eth0 -j check_ours

#Разрешаю входящий траффик по установленным соединениям
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#Разрешаю подключатся к серверу на определенные порты, http, прокси, smb
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,5269,3489,137:139,445,1194 -j ACCEPT

#Разрешаю доступ в сеть
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT
iptables -P OUTPUT ACCEPT

#разрешаю траффик по установленным соединениям
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешаю траффик для vpn
iptables -A FORWARD -i tun0 -j ACCEPT

#проверка ip, прошедшим разрешаю траффик
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j fwd-accept
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

#Для сети 192.168.1.0/32 разрешаю почту и джаббер
iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 110,25,143,2525,465,995,587,5222 -j ACCEPT

#Блокирую остальное
iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset
iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable

#Разрешаю кмопьютеру одной подсети *1.10 подключатся к компьютеру другой подсети *0.20 (принтер)
iptables -t filter -A FORWARD -s 192.168.1.10 -d 192.168.0.20 -j ACCEPT

#Запрещаю подсетям видеть друг друга
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP

#Маскарад в подсети 192.168.*.*
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE
Upd.

[AnrDaemon]

Понятия не имею, я вам не онлайн-интерпретатор скриптов.
Показывайте iptables-save.

[kostryukov]

Понятия не имею, я вам не онлайн-интерпретатор скриптов.

а есть такой?))

Показывайте iptables-save.

не могу сейчас проверить их, да и ошибки увидел..