abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 1
včera 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 6
včera 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 1
včera 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
včera 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
1.12. 15:16 | Komunita

Na GOG.com začal zimní výprodej. Řada zlevněných her běží oficiálně také na Linuxu. Hru Neverwinter Nights Diamond lze dva dny získat zdarma. Hra dle stránek GOG.com na Linuxu neběží. Pomocí návodu ji lze ale rozběhnout také na Linuxu [Gaming On Linux].

Ladislav Hagara | Komentářů: 1
1.12. 13:14 | Bezpečnostní upozornění

Byla vydána verze 2.7.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Řešeno je několik bezpečnostních problémů. Aktualizován byl především Tor Browser na verzi 6.0.7. Tor Browser je postaven na Firefoxu ESR (Extended Support Release) a právě ve Firefoxu byla nalezena a opravena vážná bezpečnostní chyba MFSA 2016-92 (CVE-2016-9079, Firefox SVG Animation

… více »
Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 760 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: OpenVPN - filtrování přenosu mezi klienty

9.5.2013 20:12 Bou
OpenVPN - filtrování přenosu mezi klienty
Přečteno: 720×
Zdravím, mám OpenVPN server, ke kterému se připojuje X klientů. Nekteří klienti spolu potřebují komunikovat proto jsem povolil: client-to-client Vše bez poroblémů funguje, jenom bych potřeboval u jednoho klienta omezit přístup pouze na některé klienty. Pomocí iptables se mi daří omezit přístup jenom na server- i když nastavím politiku u INPUT i FORWARD na DROP a jediné pravidlo je, že nechám otevřený VPN port, na komunikaci mezi klienty to nemá vubec vliv.

Dá se komunikace na serveru nějakým způsobem filtrovat, nebo musím použít filtrování pomocí iptables u každého klienta?(což je značně nevýhodné)

Díky

Řešení dotazu:


Odpovědi

Zdeněk Zámečník avatar 9.5.2013 20:26 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Ahoj, teď střílím od boku, ale zkusil bych vypnout client-to-client a potom do iptables na serveru přidat pravidla ve stylu:
iptables -A FORWARD -i tap0 -s x.x.x.x -d y.y.y.y -j ACCEPT
iptables -A FORWARD -i tap0 -s x.x.x.x -d z.z.z.z -j ACCEPT
iptables -A FORWARD -i tap0 -s x.x.x.x -o tap0 -j REJECT
iptables -A FORWARD -i tap0 -o tap0 -j ACCEPT
Samozřejmostí je povolený IPv4 forward v sysctl.

Těmito pravidly bys měl zajistit, že klient s IP x.x.x.x může komunikovat s y.y.y.y a z.z.z.z a s žádným jiným.
9.5.2013 20:35 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Já myslel, že client-to-client tam (v configu serveru) musí být, aby na sebe klienti viděli....zítra vyzkouším, uvidím :-) Každpodápně díky za radu
9.5.2013 20:42 NN
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Tipnu pravidlo:
 iptables -A FORWARD -i tun0 -o tun0 -s klient -d zakaz -j DROP
9.5.2013 20:58 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Ve FORWARD mám politiku DROP a není tam vubec žádné pravidlo. Jestli to dobře chápu, tak by se měl iptables všechny FORWARD pakety zahazovat- ale komunikace mezi klienty blokována není.
9.5.2013 21:00 Petr
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Ahoj,

Podle mne to spis zalezi, jaky typ adapteru pouzivas. Nezkousel jsem to, ale pokud bych mel strelit od pasu, tak:

Pokud pouzivas TAP adapter/zarizeni tak komunikace mezi klienty neni na urovni L3 ale L2, tudiz do toho iptables nemaji co mluvit (na vyjimky, jak iptables zasahuji do pravidel v L2 pri bridgovani ted nebudeme myslet, protoze to se tu primarne neresi). Pokud to chces omezit v tomto pripade, tak se zkus podivat na ebtables.

Pokud pouzivas TUN adapter/zarizeni tak komunikace mezi klienty je na urovni L3 a potom bys mel mit moznost tuto komunikaci pomoci iptables tvarovat.
9.5.2013 21:14 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Používám adapter TUN - přes to se mi to nedaří pomocí iptables filtrovat...
Zdeněk Zámečník avatar 9.5.2013 21:25 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
V tomto pripade vypni client-to-client a pouprav si mnou uvedena pravidla vyse (tapX -> tunX) a melo by ti to fungovat.
9.5.2013 21:33 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Díky moc, zítra vyzkouším...
10.5.2013 07:16 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Ahoj, pokud vypnu client-to-client, tak na sebe klienti nevidí, i když jsem přidal do iptables uvedená pravidla.
Zdeněk Zámečník avatar 9.5.2013 21:21 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
No myslim,ze toto je nejpresnejsi odpoved. Prave tim jsem si nebyl uplne jist, za jakych podminek dokazi iptables pracovat na L2. Me uz to nekolikrat vypeklo, kdyz se mi filtroval provoz prave na bridgi...
10.5.2013 08:52 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Celá tahle věc na mě dělá dojem, že po vytvoření VPN tunelu komunikace přes server (samozřejmě myslím virtuální adaptér TUN/TAP) nechodí. Jako by klienti mezi sebou komunikovali přímo, bez FORWADRU přes server. V tom případě asi budu těžko na serveru něco filtrovat. Nebo se mýlím?
Zdeněk Zámečník avatar 10.5.2013 09:15 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Kdepak, pokud máš vypnutý client-to-client a routovaný interface (tun), tak bys měl být schopen plně "vládnout" veškerému provozu. Asi bych napřed zkusil přepnout na politiku ACCEPT pro všechny směry a zkusil znova. Potom případně prozkoumat nastavení kernelu nejlépe přes sysctl, mám na mysli nastavení okolo ipv4.forward, send_redirects, proxy_arp apod...

Tady máš důkaz, že to funguje.
10.5.2013 11:12 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Zajímavý článek, díky. Když ale vypnu client-to-client a dávám ping mezi klienty, tak se mi při použití tcpdump -v -n -i tun0 nic nevypíše. ipv4.forward má povolené, je ještě potřeba něco nastavit?
13.5.2013 17:24 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Vyřešeno- kdyby někdo řešil něco podbného:

Je potřeba vnutit ostatním klientům routu na server. Tj. do konfiguračního souboru serveru přidat například:

push "route 10.8.0.0. 255.255.255.0"

Potom skuteně veškerý porovoz mezi klienty chodí přes FORWARD a lze jej pomocí iptables filtrovat. Všem díky za rady a pomoc
10.5.2013 10:09 Jezus | skóre: 15 | Jablunkov
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Je to přesně tak jak píšeš. Pokud máš zaplou direktivu client-to-client, tak komunikace mezi klienty nevylézá do systému, ale OpenVPN si to managuje samo. client-to-client komunikaci nejsi schopen filtrovat na úrovni systémových iptables.

Takže buďto můžes ackeptovat tento fakt, nebo si klienty rozdělit do více OpenVPNek a pak mezi různými tun rozhraními už iptables použít.
Marek Stopka avatar 10.5.2013 14:03 Marek Stopka | skóre: 57 | blog: Paranoidní blog | London, United Kingdom
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Klidně to může být v jedné VPN, jen se to musí routovat.
10.5.2013 14:20 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Takže např. přiřadit jednomu klientovi (u kterého chci filtrovat pakety) IP adresu z jiného rozsahu (např: 10.8.1.0 místo původního 10.8.0.0) potom dát server příslušnou routu:
ip route add 10.8.1.0/24 via 10.8.0.1 
A client-to-client v tomto případě nechat zapnuté?
Marek Stopka avatar 10.5.2013 14:43 Marek Stopka | skóre: 57 | blog: Paranoidní blog | London, United Kingdom
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Client to client se vypne, neni potřeba.
11.5.2013 17:29 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Pokud dám klientovi adresu z jiného rozsahu a přidám na serveru uvedenou routu, nemůžu se dostat na žádného jiného klienta, i když mám client-to-client zapnuté (s vypnutým se také nedostanu).

Nějaké nápady? Nejvíc se mi líbí nápad client-to-client vypnout a nechat klienty ve stejném adresním rozsahu, jak už uváděl Zdeněk. Jenom nevím, co nastavit, aby klienti mohli navzájem komunikovat- teď může jenom klient-server. ipv4.forward mám nastavený na 1, je potřeba ještě něco dalšího?

Marek Stopka avatar 11.5.2013 18:53 Marek Stopka | skóre: 57 | blog: Paranoidní blog | London, United Kingdom
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Jenže když jsou ve stejném segmentu, tak se ten trafic neroutuje, že... Takže logicky nelze tu komunikaci na serveru nijak řídit.
11.5.2013 19:44 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
A v případě, že bych měl tedy jiný síťový segment, jak ho zpřístupním jiným klientům? Musím přidat routu (případně jakou - stejnou, jako jsem již uváděl? ) i všem ostatním klientům? S routou pouze na serveru jsem na ostatní klienty neviděl...
Marek Stopka avatar 12.5.2013 03:24 Marek Stopka | skóre: 57 | blog: Paranoidní blog | London, United Kingdom
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Push direktiva v OpenVPN, nebo jak přesně se to jmenuje...
Zdeněk Zámečník avatar 11.5.2013 19:55 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
Pokud chceš, ozvi se mi v pondělí třeba na jabber a můžeme to zkusit vyřešit...
11.5.2013 20:35 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty
OK, díky.... ozvu se.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.