The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Проброс порта 3389 во внутреннюю сеть, !*! gremlintv32, 07-Фев-17, 11:42  [смотреть все]
Исходные данные: есть openvpn шлюз на linux с интрефейсами:
eth0 - смотрит в локалку 192.168.1.0/24
tun0 - смотрит в vpn сеть - 10.0.0.0/30
Задача:
Нужно, чтобы отбрасывались все пакеты, кроме тех, которые:
а) приходят по порту 22 с ip 192.168.1.100;
б) приходят по порту 1194 с ip 192.168.1.1;
в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на адрес 192.168.1.100;

Правильно ли прописаны следующие правила:
а) iptables -A INPUT ! -s 192.168.1.100 -p tcp --dport 22 -j DROP
б) iptables -A INPUT ! -s 192.168.1.1 -p tcp --dport 1194 -j DROP
в) iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389

  


Ответить | Сообщить модератору
  • Проброс порта 3389 во внутреннюю сеть, !*! PavelR, 12:55 , 07-Фев-17 (1) +1
    Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг.
    Ответить | Сообщить модератору
    • Проброс порта 3389 во внутреннюю сеть, !*! gremlintv32, 15:29 , 07-Фев-17 (2)
      > Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг.

      Что посоветуете? Нужно всего лишь по закрывать все лишнее + настроить nat на одном порту(3389) для сети openvpn:
      192.168.1.1(шлюз)->192.168.1.200(openvpn srv) <- открыт только порт 1194 для 192.168.1.1
      192.168.1.100(win)->192.168.1.200(openvpn srv) <- открыт только порт 22 для 192.168.1.100
      10.0.0.6(openvpn client)->10.0.0.1(openvpn server)->192.168.1.100(win rdp) <- проброс порта 3389 на 192.168.1.100 все остальное закрыто

        


      Ответить | Сообщить модератору
  • Проброс порта 3389 во внутреннюю сеть, !*! PavelR, 16:07 , 07-Фев-17 (3)
    > Исходные данные: есть openvpn шлюз на linux с интрефейсами:
    > eth0 - смотрит в локалку 192.168.1.0/24
    > tun0 - смотрит в vpn сеть - 10.0.0.0/30
    > Задача:
    > Нужно, чтобы отбрасывались все пакеты, кроме тех, которые:
    > а) приходят по порту 22 с ip 192.168.1.100;
    > б) приходят по порту 1194 с ip 192.168.1.1;
    > в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на
    > адрес 192.168.1.100;

    iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
    iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT

    iptables -A INPUT -j DROP или iptables -P INPUT DROP

    Также не забываем про FORWARD т.к. в постановке задачи не говорится про то, что делать с транзитными пакетами.
    Не забываем про -m state и  разрешение всего остального, что еще может быть необходимым (например DNS-ответы).

    Ответить | Сообщить модератору
    • Проброс порта 3389 во внутреннюю сеть, !*! gremlintv32, 16:11 , 07-Фев-17 (4)
      >[оверквотинг удален]
      >> б) приходят по порту 1194 с ip 192.168.1.1;
      >> в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на
      >> адрес 192.168.1.100;
      > iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
      > iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT
      > iptables -A INPUT -j DROP или iptables -P INPUT DROP
      > Также не забываем про FORWARD т.к. в постановке задачи не говорится про
      > то, что делать с транзитными пакетами.
      > Не забываем про -m state и  разрешение всего остального, что еще
      > может быть необходимым (например DNS-ответы).

      Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24
      А как быть с пробросом 3389?
      Такое правило будет работать:
      iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389
      ?

      Ответить | Сообщить модератору
      • Проброс порта 3389 во внутреннюю сеть, !*! reader, 17:19 , 07-Фев-17 (5)
        >[оверквотинг удален]
        >> Также не забываем про FORWARD т.к. в постановке задачи не говорится про
        >> то, что делать с транзитными пакетами.
        >> Не забываем про -m state и  разрешение всего остального, что еще
        >> может быть необходимым (например DNS-ответы).
        > Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24
        > А как быть с пробросом 3389?
        > Такое правило будет работать:
        > iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j
        > DNAT \ --to-destination 192.168.1.100:3389
        > ?

        эти пакеты пойдут через FORWARD , разрешайте прохождение этих пакетов там

        Ответить | Сообщить модератору
      • Проброс порта 3389 во внутреннюю сеть, !*! PavelR, 18:59 , 07-Фев-17 (6)
        >[оверквотинг удален]
        >> iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
        >> iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT
        >> iptables -A INPUT -j DROP или iptables -P INPUT DROP
        >> Также не забываем про FORWARD т.к. в постановке задачи не говорится про
        >> то, что делать с транзитными пакетами.
        >> Не забываем про -m state и  разрешение всего остального, что еще
        >> может быть необходимым (например DNS-ответы).
        > Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24
        > А как быть с пробросом 3389?
        > Такое правило будет работать:

        Правило будет работать так, как оно написано. Достигнете ли вы того, чего хотите - не известно, т.к. правила "поштучно" не работают, а работает вся кофигурация в целом.

        Ответить | Сообщить модератору
  • Проброс порта 3389 во внутреннюю сеть, !*! None, 11:06 , 18-Авг-17 (7)
    многие недоадмины любяь пробрасывать 3389, потом удивляются, что их поломали

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру