Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Тонкая настройка Iptables для VPN  (Прочитано 234381 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Kisliy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
  • Ubuntu 20.04
    • Просмотр профиля
Тонкая настройка Iptables для VPN
« : 21 Марта 2024, 01:33:05 »
Здравствуйте! ;) Настраиваю VPN SoftEther на VPS в Ubuntu v20, так ли будет он работать как я задумал? Подправьте пожалуйста, если что не очень получилось или пропущено! Собственно, мой «неподступный бастион»: интерфейсы системы: lo - 127.0.0.1/8;   eth0 - айпи сервера/27;   tap_tap_virtual - 192.168.10.1/24

iptables -P PREROUTING ACCEPT

iptables -P INPUT DROP
1. iptables -A INPUT -i lo -j ACCEPT
2. iptables -A INPUT -i eth0 -s айпи сервера -m conntrack --ctstate NEW,INVALID,ESTABLISHED,RELATED,SNAT,DNAT -j ACCEPT
3. iptables -A INPUT -i tap_tap_virtual -s 192.168.10.0/24 -j ACCEPT
4. iptables -A INPUT -i eth0 -s айпи домашнего компа -m conntrack --ctstate NEW,INVALID,ESTABLISHED,RELATED,SNAT,DNAT -j ACCEPT


iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P POSTROUTING ACCEPT
iptables -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

Вот что задумано в таблице INPUT:
1. Обеспечение работы виртуального сервера от физического.
2. Разрешаю входящие пакеты на физический интерфейс от самого виртуального сервера (удалённое использование браузера, установка обновлений системы и приложений).
3. Разрешаю входящие пакеты на виртуальный интерфейс от удалённых компьютеров локальной сети.
4. Разрешаю входящие пакеты на физический интерфейс только от моего домашнего компа (администрирование, любые протоколы и т. д.).
Помимо ещё остались вопросы:
5. VNC через браузерную панель управления VPS по каким сетевым правилам будет работать?
6. Протоколы и порты я не указывал, сойдёт такой подход?
7. Возможен ли брутфорс или другие ddos атаки на мой сервер с таким настойками?
8. Можно ли получить от моего сервера какую-нибудь информацию, например с помощью Active Probing?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28479
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #1 : 21 Марта 2024, 11:31:00 »
iptables-save показывайте. Так будет яснее.

Пользователь добавил сообщение 21 Марта 2024, 11:35:19:
И для затравки -
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 21 Марта 2024, 11:35:19 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Kisliy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
  • Ubuntu 20.04
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #2 : 21 Марта 2024, 16:20:00 »
iptables-save показывайте. Так будет яснее.
Хорошо, но я его ещё не создавал.

(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28479
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #3 : 21 Марта 2024, 18:16:49 »
Ну а в чём тогда проблема?…

Изучайте правила, которые я запостил. Там многое уже есть. Обратите внимание на порядок правил.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Kisliy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
  • Ubuntu 20.04
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #4 : 21 Марта 2024, 19:24:52 »
Изучайте правила, которые я запостил. Там многое уже есть. Обратите внимание на порядок правил.
Хорошо :coolsmiley: Т.е. это ваш vpn, который аналогичен моему? Он устойчив к уязвимостям, обозначенных в 7 и 8 вопросах?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28479
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #5 : 22 Марта 2024, 10:03:59 »
7. Одними правилами iptables защита не выстраивается. Но то, что от них зависит, там есть.
8. Да, конечно. А как вы хотели?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Kisliy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
  • Ubuntu 20.04
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #6 : 22 Марта 2024, 11:10:56 »
7. Одними правилами iptables защита не выстраивается. Но то, что от них зависит, там есть.
Если я один буду пользоваться vpn, я могу прописать только свой ip адрес домашнего компа, а остальные соединения в drop отправлять, тогда разве возможна атака?

Цитировать
8. Да, конечно. А как вы хотели?
Тоже не хотел бы, опять таки, если соединения с чужих ip - drop, active probing сервера всё-равно каким-то образом будет делаться?

Оффлайн Kisliy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
  • Ubuntu 20.04
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #7 : 25 Июля 2024, 02:54:14 »
AnrDaemon, Доброй ночи! Подскажи пожалуйста по пре-роутингу :)
Вот мои правила пре-роутинга из файла rules v4:
*MANGLE
:PREROUTING ACCEPT
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT

*NAT
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 443 -j DNAT --to-destination 140.82.121.3:443
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 140.82.121.3:80
-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
Но когда я ввожу IP_своего_сервера:80 перенаправления на 140.82.121.3:80 не происходит :(
Более того, когда сканирую Zenmap он тоже не находит эти udp 443 и tcp 80.
Что делать в таком случае?
https://disk.yandex.ru/i/7Rv6xP-ecmMxKg

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28479
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #8 : 25 Июля 2024, 12:09:06 »
Провайдер может блокировать 80-й порт.
А почему 443 UDP?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Kisliy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
  • Ubuntu 20.04
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #9 : 25 Июля 2024, 19:35:12 »
Провайдер может блокировать 80-й порт.
Спросил поддержку, ограничений нет.
 
А почему 443 UDP?
Не знаю, делал просто по инструкции.

Ещё проверил порт 2347 и он оказался открыт, но Nmap его не видит :P

Вот список открытых портов, правда там почему-то выдаются ещё протокол v6, но у меня только ipv4:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      349226/cupsd
tcp        0      0 127.0.0.1:8888          0.0.0.0:*               LISTEN      650/xray
tcp        0      0 127.0.0.1:8889          0.0.0.0:*               LISTEN      650/xray
tcp        0      0 127.0.0.1:8443          0.0.0.0:*               LISTEN      650/xray
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      655/nginx: master p
tcp        0      0 127.0.0.1:8444          0.0.0.0:*               LISTEN      655/nginx: master p
tcp        0      0 0.0.0.0:2700            0.0.0.0:*               LISTEN      652/sshd: /usr/sbin
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      265/systemd-resolve
tcp6       0      0 ::1:3350                :::*                    LISTEN      664/xrdp-sesman
tcp6       0      0 ::1:631                 :::*                    LISTEN      349226/cupsd
tcp6       0      0 :::3389                 :::*                    LISTEN      684/xrdp
tcp6       0      0 :::2347                 :::*                    LISTEN      650/xray
tcp6       0      0 :::2700                 :::*                    LISTEN      652/sshd: /usr/sbin
udp        0      0 0.0.0.0:67              0.0.0.0:*                           633/dhcpd
udp        0      0 0.0.0.0:631             0.0.0.0:*                           349228/cups-browsed
udp        0      0 0.0.0.0:35500           0.0.0.0:*                           297500/vpnserver
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           297/avahi-daemon: r
udp        0      0 0.0.0.0:42734           0.0.0.0:*                           297/avahi-daemon: r
udp        0      0 0.0.0.0:8967            0.0.0.0:*                           297500/vpnserver
udp        0      0 192.168.10.1:4500       0.0.0.0:*                           297500/vpnserver
udp        0      0 127.0.0.1:4500          0.0.0.0:*                           297500/vpnserver
udp        0      0 ip_сервера:4500         0.0.0.0:*                           297500/vpnserver
udp        0      0 0.0.0.0:33207           0.0.0.0:*                           297500/vpnserver
udp        0      0 192.168.10.1:500        0.0.0.0:*                           297500/vpnserver
udp        0      0 127.0.0.1:500           0.0.0.0:*                           297500/vpnserver
udp        0      0 ip_сервера:500          0.0.0.0:*                           297500/vpnserver
udp      768      0 0.0.0.0:58926           0.0.0.0:*                           297499/vpnserver
udp        0      0 0.0.0.0:53              0.0.0.0:*                           297500/vpnserver
udp        0      0 127.0.0.53:53           0.0.0.0:*                           265/systemd-resolve
udp6       0      0 :::5353                 :::*                                297/avahi-daemon: r
udp6       0      0 :::2347                 :::*                                650/xray
udp6       0      0 fe80::5c35:f6ff:fe:4500 :::*                                297500/vpnserver
udp6       0      0 ::1:4500                :::*                                297500/vpnserver
udp6       0      0 fe80::216:3cff:fe1:4500 :::*                                297500/vpnserver
udp6       0      0 :::52120                :::*                                297/avahi-daemon: r
udp6       0      0 fe80::5c35:f6ff:fe0:500 :::*                                297500/vpnserver
udp6       0      0 ::1:500                 :::*                                297500/vpnserver
udp6       0      0 fe80::216:3cff:fe1f:500 :::*                                297500/vpnserver
raw        0      0 0.0.0.0:1               0.0.0.0:*               7           297500/vpnserver
raw        0      0 0.0.0.0:1               0.0.0.0:*               7           633/dhcpd
raw        0      0 0.0.0.0:1               0.0.0.0:*               7           309/pingtunnel
raw        0      0 192.168.10.1:50         0.0.0.0:*               7           297500/vpnserver
raw        0      0 127.0.0.1:50            0.0.0.0:*               7           297500/vpnserver
raw        0      0 ip_сервера:50           0.0.0.0:*               7           297500/vpnserver
raw        0      0 192.168.10.1:52         0.0.0.0:*               7           297500/vpnserver
raw        0      0 127.0.0.1:52            0.0.0.0:*               7           297500/vpnserver
raw        0      0 ip_сервера:52           0.0.0.0:*               7           297500/vpnserver
raw6       0      0 fe80::5c35:f6ff:fe00:50 :::*                    7           297500/vpnserver
raw6       0      0 ::1:50                  :::*                    7           297500/vpnserver
raw6       0      0 fe80::216:3cff:fe1f::50 :::*                    7           297500/vpnserver
raw6       0      0 fe80::5c35:f6ff:fe00:52 :::*                    7           297500/vpnserver
raw6       0      0 ::1:52                  :::*                    7           297500/vpnserver
raw6       0      0 fe80::216:3cff:fe1f::52 :::*                    7           297500/vpnserver

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28479
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #10 : 26 Июля 2024, 06:47:54 »
Не знаю, делал просто по инструкции.
Можно объяснить, ЧТО вы делаете?

P.S.
Чтобы nMap "увидел" порт, на этом порту что-то должно быть.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Kisliy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
  • Ubuntu 20.04
    • Просмотр профиля
Re: Тонкая настройка Iptables для VPN
« Ответ #11 : 26 Июля 2024, 08:45:01 »
Можно объяснить, ЧТО вы делаете?
(Нажмите, чтобы показать/скрыть)
Ну а я, в итоге, просто проверяю сервер на открытые порты, т. е. active probing так сказать ;)

Чтобы nMap "увидел" порт, на этом порту что-то должно быть
Открытый порт для shadowsocks там висит.

 

Страница сгенерирована за 0.078 секунд. Запросов: 25.