Добрый день.
Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам.
Есть такие правила:
1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP.Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn через tun -подключение?
>[оверквотинг удален]
> Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам.
> Есть такие правила:
> 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
> DROP.
> Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn
> через tun -подключение?-i tun
>[оверквотинг удален]
>> Есть такие правила:
>> 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport
>> 9001 -j ACCEPT
>> 2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport
>> 9001 -j ACCEPT
>> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
>> DROP.
>> Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn
>> через tun -подключение?
> -i tunИли вообще -i убрать....
Чтобы попали все интерфейсы даного типа -i tun+
man iptables
If the interface name ends in a "+", then any interface which begins with this name will match. If this option is omitted, any interface name will match.
> Чтобы попали все интерфейсы даного типа -i tun+
> man iptables
> If the interface name ends in a "+", then any
> interface which begins with this name will match. If this
> option is omitted, any interface name will match.1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2.1 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport 9001 -j ACCEPT
3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP.
Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на котором vpn настроен?
>[оверквотинг удален]
> 1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 2.1 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport
> 9001 -j ACCEPT
> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
> DROP.
> Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на
> котором vpn настроен?как много нам открытbй нjвых... а что вы ещё не оговорили в постановке вопроса?
пометить или отправить в тунель трафик от vpn-прокри а потом уже на основе имеющихка маркеров делать правила.
>[оверквотинг удален]
>> 2.2 -A INPUT -s 192.168.200.18/32 -i tun+ -p tcp -m tcp --dport
>> 9001 -j ACCEPT
>> 3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j
>> DROP.
>> Я так пробовала, не работает. Может какую-то роль играют правила на прокси-сервере,на
>> котором vpn настроен?
> как много нам открытbй нjвых... а что вы ещё не оговорили в
> постановке вопроса?
> пометить или отправить в тунель трафик от vpn-прокри а потом уже на
> основе имеющихка маркеров делать правила.Мой опыт в iptables минимален. Я просто рассуждаю,в чем может быть причина
На прокси нашла такие правила, касающиеся vpn:OPENVPN_IFACE="tun0"
OPENVPN_PORT="443"#OpenVPN
$IPTABLES -A tcp_packets -p TCP -s 0/0 --destination-port $OPENVPN_PORT -j ACCEPT#OpenVPN
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port $OPENVPN_PORT -j ACCEPT
#OpenVPN
$IPTABLES -A INPUT -p ALL -i $OPENVPN_IFACE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i tun0 -j ACCEPT
$IPTABLES -A FORWARD -i $OPENVPN_IFACE -j ACCEPT$IPTABLES -A OUTPUT -p ALL -o tun0 -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $OPENVPN_IFACE -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 192.168.200.0/24 -o $LAN_IFACE -j SNAT --to-source $LAN_IP