Проброс порта 3389 во внутреннюю сеть, gremlintv32, 07-Фев-17, 11:42 [смотреть все]Исходные данные: есть openvpn шлюз на linux с интрефейсами: eth0 - смотрит в локалку 192.168.1.0/24 tun0 - смотрит в vpn сеть - 10.0.0.0/30 Задача: Нужно, чтобы отбрасывались все пакеты, кроме тех, которые: а) приходят по порту 22 с ip 192.168.1.100; б) приходят по порту 1194 с ip 192.168.1.1; в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на адрес 192.168.1.100;Правильно ли прописаны следующие правила: а) iptables -A INPUT ! -s 192.168.1.100 -p tcp --dport 22 -j DROP б) iptables -A INPUT ! -s 192.168.1.1 -p tcp --dport 1194 -j DROP в) iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389
|
- Проброс порта 3389 во внутреннюю сеть, PavelR, 12:55 , 07-Фев-17 (1) +1
Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг.
- Проброс порта 3389 во внутреннюю сеть, gremlintv32, 15:29 , 07-Фев-17 (2)
> Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг. Что посоветуете? Нужно всего лишь по закрывать все лишнее + настроить nat на одном порту(3389) для сети openvpn: 192.168.1.1(шлюз)->192.168.1.200(openvpn srv) <- открыт только порт 1194 для 192.168.1.1 192.168.1.100(win)->192.168.1.200(openvpn srv) <- открыт только порт 22 для 192.168.1.100 10.0.0.6(openvpn client)->10.0.0.1(openvpn server)->192.168.1.100(win rdp) <- проброс порта 3389 на 192.168.1.100 все остальное закрыто
- Проброс порта 3389 во внутреннюю сеть, PavelR, 16:07 , 07-Фев-17 (3)
> Исходные данные: есть openvpn шлюз на linux с интрефейсами: > eth0 - смотрит в локалку 192.168.1.0/24 > tun0 - смотрит в vpn сеть - 10.0.0.0/30 > Задача: > Нужно, чтобы отбрасывались все пакеты, кроме тех, которые: > а) приходят по порту 22 с ip 192.168.1.100; > б) приходят по порту 1194 с ip 192.168.1.1; > в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на > адрес 192.168.1.100; iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT iptables -A INPUT -j DROP или iptables -P INPUT DROP Также не забываем про FORWARD т.к. в постановке задачи не говорится про то, что делать с транзитными пакетами. Не забываем про -m state и разрешение всего остального, что еще может быть необходимым (например DNS-ответы).
- Проброс порта 3389 во внутреннюю сеть, gremlintv32, 16:11 , 07-Фев-17 (4)
>[оверквотинг удален] >> б) приходят по порту 1194 с ip 192.168.1.1; >> в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на >> адрес 192.168.1.100; > iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT > iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT > iptables -A INPUT -j DROP или iptables -P INPUT DROP > Также не забываем про FORWARD т.к. в постановке задачи не говорится про > то, что делать с транзитными пакетами. > Не забываем про -m state и разрешение всего остального, что еще > может быть необходимым (например DNS-ответы).Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24 А как быть с пробросом 3389? Такое правило будет работать: iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389 ?
- Проброс порта 3389 во внутреннюю сеть, reader, 17:19 , 07-Фев-17 (5)
>[оверквотинг удален] >> Также не забываем про FORWARD т.к. в постановке задачи не говорится про >> то, что делать с транзитными пакетами. >> Не забываем про -m state и разрешение всего остального, что еще >> может быть необходимым (например DNS-ответы). > Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24 > А как быть с пробросом 3389? > Такое правило будет работать: > iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j > DNAT \ --to-destination 192.168.1.100:3389 > ?эти пакеты пойдут через FORWARD , разрешайте прохождение этих пакетов там
- Проброс порта 3389 во внутреннюю сеть, PavelR, 18:59 , 07-Фев-17 (6)
>[оверквотинг удален] >> iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT >> iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT >> iptables -A INPUT -j DROP или iptables -P INPUT DROP >> Также не забываем про FORWARD т.к. в постановке задачи не говорится про >> то, что делать с транзитными пакетами. >> Не забываем про -m state и разрешение всего остального, что еще >> может быть необходимым (например DNS-ответы). > Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24 > А как быть с пробросом 3389? > Такое правило будет работать: Правило будет работать так, как оно написано. Достигнете ли вы того, чего хотите - не известно, т.к. правила "поштучно" не работают, а работает вся кофигурация в целом.
- Проброс порта 3389 во внутреннюю сеть, None, 11:06 , 18-Авг-17 (7)
многие недоадмины любяь пробрасывать 3389, потом удивляются, что их поломали
|