https://www.opennet.ru/openforum/vsluhforumID1/87336.html Уважаемые коллеги! Подскажите решение вот такой задачи. Поиск юзал, но т.к. внятно не получается односложно описать то, что нужно, ничего не нашел. Итак, есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например. Этот комп, соответственно, получает через vpn выход в инет. При этом с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и заходить на любые машины в своей сети. Вопрос вот в чем... Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной сети?<br> https://www.opennet.ru/openforum/vsluhforumID1/87336.html#13 Thu, 19 Nov 2009 13:14:14 GMT Может запретить 135-139 порты на внутреннем интерфейсе? да и на внешнем они не нужны. 8)<br><br> https://www.opennet.ru/openforum/vsluhforumID1/87336.html#12 Thu, 19 Nov 2009 11:24:57 GMT &gt;&gt;попробовать менять таблицу маршрутизации при поднятии vpn? <br>&gt;<br>&gt;:) <br>&gt;каким образом Вы предлагаете это сделать? <br>&gt;всю сеть в blackhole? ну тогда он и шлюза не увидит чтоб <br>&gt;попасть на vpn.... <br><br>при поднятии vpn убирать локалку за шлюз :)<br><br>[root@localhost sysconfig]# route -n<br>Kernel IP routing table<br>Destination Gateway Genmask Flags Metric Ref Use Iface<br>10.10.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0<br>0.0.0.0 10.10.0.254 0.0.0.0 UG 0 0 0 eth0<br>[root@localhost sysconfig]# tracepath -n 10.10.0.1<br> 1: 10.10.0.17 0.186ms pmtu 1500<br> 1: 10.10.0.1 1.035ms reached<br> 1: 10.10.0.1 0.494ms reached<br> Resume: pmtu 1500 hops 1 back 64<br>[root@localhost sysconfig]# route del -net 10.10.0.0/24<br>[root@localhost sysconfig]# route -n<br>Kernel IP routing table<br>Destination Gateway Genmask Flags Metric Ref Use Iface<br>0.0.0.0 10.10.0.254 0.0.0.0 UG 0 0 https://www.opennet.ru/openforum/vsluhforumID1/87336.html#11 Thu, 19 Nov 2009 07:06:48 GMT <br>&gt;[оверквотинг удален]<br>&gt;# (2) (Advanced) Create a script to dynamically <br>&gt;# modify the firewall in response to access <br>&gt;<br>&gt;# from different clients. See man <br>&gt;# page for more info on learn-address script. <br>&gt;<br>&gt;<br>&gt;я выбрал второй вариант и нарезаю правила каждый раз, когда подключается клиент. <br>&gt;Соответственно он может ходить только туда и по тем портам, куда <br>&gt;решу я. <br><br>ок. почитаю. спасибо<br> https://www.opennet.ru/openforum/vsluhforumID1/87336.html#10 Thu, 19 Nov 2009 06:28:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна <br>&gt;&gt;- защищенная, вторая - с доступом в интернет. <br>&gt;&gt;<br>&gt;&gt;Любые другие варианты - не дают полной гарантии, хотя можно, к примеру, <br>&gt;&gt;постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по <br>&gt;&gt;оставшимся разрешенным направлениям соединения/данные. <br>&gt;<br>&gt;технически 2 сети и существуют. Но бухгалтерия это же своеобразный народ. "хочу <br>&gt;туда ходить, хочу сюда ходить". Ограничения на соединения с конкретным узлом <br>&gt;стоят. Просто интересовал вопрос о возможностях openvpn <br><br>в конфиге есть параметр learn-address<br><br># Suppose that you want to enable different<br># firewall access policies for different groups<br># of clients. There are two methods:<br># (1) Run multiple OpenVPN daemons, one for each<br># group, and firewall the TUN/TAP interface<br># for each group/daemon appropriately.<br># (2) (Advanced) Create a script to dynamically<br># modify the firewall in respons https://www.opennet.ru/openforum/vsluhforumID1/87336.html#9 Thu, 19 Nov 2009 05:35:36 GMT &gt;<br>&gt;ну так с этого и надо было начинать разговор. <br>&gt;<br>&gt;Для того, чтобы решить эту проблему _гарантированно_ есть только один способ, который <br>&gt;очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна <br>&gt;- защищенная, вторая - с доступом в интернет. <br>&gt;<br>&gt;Любые другие варианты - не дают полной гарантии, хотя можно, к примеру, <br>&gt;постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по <br>&gt;оставшимся разрешенным направлениям соединения/данные. <br><br>технически 2 сети и существуют. Но бухгалтерия это же своеобразный народ. "хочу туда ходить, хочу сюда ходить". Ограничения на соединения с конкретным узлом стоят. Просто интересовал вопрос о возможностях openvpn<br><br> https://www.opennet.ru/openforum/vsluhforumID1/87336.html#8 Thu, 19 Nov 2009 05:13:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;внимание вопрос: нафига это делать, если можно погасить клиент и ходить по <br>&gt;&gt;&gt;"родной локалке"? <br>&gt;&gt;<br>&gt;&gt;наверно как всегда, что бы те кому не положен инет не ходили <br>&gt;&gt;через тех кому можно :) <br>&gt;<br>&gt;исключительно в целях безопасности. клиенты - бухгалтерия ведомственной сети. Инет нужен когда <br>&gt;отправляются данные в мин.фин. Соответственно, при определенном "везении" можно подхватить что-нибудь <br>&gt;и нехороший индивидуум получит доступ к зараженной машине, а через нее <br>&gt;во внутреннюю сеть. <br><br>ну так с этого и надо было начинать разговор.<br><br>Для того, чтобы решить эту проблему _гарантированно_ есть только один способ, который очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна - защищенная, вторая - с доступом в интернет. <br><br>Любые другие варианты - не дают полной гарантии, хотя можно, к примеру, постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по оставшимся разрешенным направлениям соединения/данные.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/87336.html#7 Thu, 19 Nov 2009 04:43:56 GMT <br>&gt;&gt;внимание вопрос: нафига это делать, если можно погасить клиент и ходить по <br>&gt;&gt;"родной локалке"? <br>&gt;<br>&gt;наверно как всегда, что бы те кому не положен инет не ходили <br>&gt;через тех кому можно :) <br><br>исключительно в целях безопасности. клиенты - бухгалтерия ведомственной сети. Инет нужен когда отправляются данные в мин.фин. Соответственно, при определенном "везении" можно подхватить что-нибудь и нехороший индивидуум получит доступ к зараженной машине, а через нее во внутреннюю сеть. <br> https://www.opennet.ru/openforum/vsluhforumID1/87336.html#6 Wed, 18 Nov 2009 18:25:50 GMT &gt;попробовать менять таблицу маршрутизации при поднятии vpn? <br><br>:)<br>каким образом Вы предлагаете это сделать?<br>всю сеть в blackhole? ну тогда он и шлюза не увидит чтоб попасть на vpn....<br> https://www.opennet.ru/openforum/vsluhforumID1/87336.html#5 Wed, 18 Nov 2009 15:07:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt;есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов <br>&gt;&gt;установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например. <br>&gt;&gt;Этот комп, соответственно, получает через vpn выход в инет. При этом <br>&gt;&gt;с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и <br>&gt;&gt;заходить на любые машины в своей сети. Вопрос вот в чем... <br>&gt;&gt;Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной <br>&gt;&gt;сети? <br>&gt;<br>&gt;внимание вопрос: нафига это делать, если можно погасить клиент и ходить по <br>&gt;"родной локалке"? <br><br>наверно как всегда, что бы те кому не положен инет не ходили через тех кому можно :)<br>