iptables - мониторинг убитого
Vladimir Skubriev
vladimir на skubriev.ru
Ср Янв 15 13:38:09 UTC 2014
15.01.2014 16:52, Роман пишет:
> Вот это правило прокатило.
>
> iptables -A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT
>
> iptables -A INPUT -i tap+ -j ACCEPT
> iptables -A FORWARD -i tap+ -j ACCEPT
>
> Можете кинуть мне свой конфиг сервера OprnVPN и клиента.
> Меня интересует как вы создаете tap и параметры для клиенты от DHCP
> получают или как то иначе?
>
>
> VS> 14.01.2014 16:47, Роман пишет:
>>> а я уже и так делал
>>> -A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT
>>>
>>> не вышло... может потому что впн через tap ?
>>> другой интерфейс?
>>>
>>>
>>> VS> 14.01.2014 15:56, Роман пишет:
>>>>> Добрый день!
>>>>>
>>>>> Настраиваю VPN сервер и уже есть IPtables с настроненными правилами
>>>>> для почты.
>>>>>
>>>>> ПРописил на нем
>>>>> iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEP
>>> VS> попробуйте без -m state --state NEW
>>> VS> и букву P в конце не забудьте.
>>>
> VS> Попробуй так, ну еще output добавь
>
> VS> У меня без них работает и тот же tap используется
>
> VS> iptables -A INPUT -i tap+ -j ACCEPT
> VS> iptables -A FORWARD -i tap+ -j ACCEPT
>
>>>>> (да, у меня tcp, а не udp)
>>>>>
>>>>> подключение принимается, сниффер на сервере видит обращения от
>>>>> клиента, но соединение не устанавливается. Выключаю iptables stop
>>>>> и все подключается.
>>>>> Отсюда вопрос - как мне понять, что надо разрешить?
>>>>>
>>>>> ПО идее можно было бы посмотреть, что блокируется с данного IP или в
>>>>> сторону данного IP и разрешить это. НО я не знак как мониторить....
>>>>>
>>>>>
>>>>>
>>> VS> --
>>> VS> --
>>> VS> Faithfully yours,
>>>
>>> VS> Vladimir Skubriev
>>>
>>>
>>>
>>>
>>>
>
> VS> --
> VS> --
> VS> Faithfully yours,
>
> VS> Vladimir Skubriev
>
>
>
>
>
Я настраиваю с помощью opscode chef cookbook openvpn )
server.conf:
# OpenVPN server config file
#
# Generated by Chef - local changes will be overwritten
port 1194
proto udp
dev tun
keepalive 10 120
comp-lzo
local XX.XX.XX.XX
push 'route 192.168.128.0 255.255.255.0'
# Keys and certificates.
ca /etc/openvpn/keys/ca.crt
key /etc/openvpn/keys/server.key # This file should be kept secret.
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server 10.8.0.0 255.255.0.0
user nobody
group nogroup
# avoid accessing certain resources on restart
persist-key
persist-tun
# current client connections
status /etc/openvpn/openvpn-status.log
# logging settings.
log-append /var/log/openvpn.log
verb 1 # don't spam the log with messages.
mute 10 # suppress identical messages > 10 occurances.
script-security 1
skubriev.conf:
client
dev tun
proto udp
remote gate.example.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert skubriev.crt
key skubriev.key
comp-lzo
verb 3
роль openvpn сервера:
{
"name": "openvpn_server",
"description": "The server that runs OpenVPN",
"json_class": "Chef::Role",
"default_attributes": {
},
"override_attributes": {
"openvpn": {
"routes": [
"push 'route 192.168.128.0 255.255.255.0'"
],
"netmask": "255.255.0.0",
"gateway": "gate.example.com",
"key": {
"country": "RU",
"city": "CityTown",
"email": "admin на int.example.com",
"province": "61",
"org": "ExampleCOM"
},
"subnet": "10.8.0.0"
}
},
"chef_type": "role",
"run_list": [
"recipe[openvpn]",
"recipe[openvpn::users_ldap]"
],
"env_run_lists": {
}
}
"recipe[openvpn::users_ldap]" - дописывал сам )
Рекомендую обратить внимание на chef-solo (и если будет время berkshelf)
При помощи chef-solo и измененной роли если вникнуть в chef-solo,
openvpn настраивается одной командой )
Остаеться только раздать архивы с конфигами юзерам.
Инструкция для юзеров тоже есть если что.
Если еще что то надо пишите.
--
--
Faithfully yours,
Vladimir Skubriev
More information about the ubuntu-ru
mailing list