iptables pravidla (vyřešeno)

Potřeboval bych poradit od nějakého zkušeného administrátora; sám bohužel zatím nemám tolik zkušeností s nastavováním iptables.

Starám se o 4 LAN (172.17.1.0/24, 172.17.2.0/24, 172.17.3.0/24, 172.17.4.0/24), které jsou spojené do jedné VPN (172.17.10.0/24). Všichni klienti spolu můžou v rámci VPN sítě komunikovat (viz. ilustrace).

Musím upravit pravidla iptables pro jednu z LAN sítí; pro klienty, kterým je přidělovaná adresa v rozsahu 172.17.2.150 - 172.17.2.199. U těchto klientů potřebuji, aby:

mohli komunikovat pouze mezi sebou,
se dostali na internet

Chci jim zakázat jakoukoli komunikaci v rámci VPN s dalšími klienty.

Dal jsem dohromady následující pravidla a byl bych rád, kdyby se na ně někdo podíval zkušeným okem a poradil mi, jestli nevidí nějaký problém.

iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.1.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.2.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.3.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.4.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.10.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -m iprange --dst-range 172.17.2.150-172.17.2.199 -j ACCEPT
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -d 0/0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Odpovědi

Pokud nespecifikujes destination je to to same jako -d 0/0. Maskarada je obecna, takze sem nepatri. Pokud by jsi pouzival rozumnejsi subnety obejdes se i bez iprange. Pokud volas modul tak to staci udelat jednou. Jelikoz plati pravidlo, co neni povoleno je zakazano(pokud nemas jinou politiku) tak staci povolit komunikaci mezi sebou a ven. Takze celkove staci:

iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --dst-range 172.17.2.150-172.17.2.199 -j ACCEPT
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -o eth0 -j ACCEPT

30.5.2011 11:24 kunago
Rozbalit Rozbalit vše Re: iptables pravidla

Jedná se o nastavení pravidel iptables na routeru s DD-WRT, kde spíš platí opačná politika; tedy co není zakázáno, je povoleno. Těmi pravidly se pokouším izolovat návštěvníky mé sítě, kterým nechci umožnit přístup jinam než ven ze sítě.

Pokud jsem to tedy správně pochopil, pro mé účely je vhodných prvních 5 pravidel, kde se komunikace blokuje. Správně?

nevím, jestli to potřebuješ, ale zkus se kouknout na tohle

http://www.northsun.net/vpn/

HP Elitebook 8440p

30.5.2011 11:30 kunago
Rozbalit Rozbalit vše Re: iptables pravidla

Díky za dokument, ale VPN mi běží bez problému. Abych to upřesnil, každá LAN má vlastní bránu, přes kterou se přistupuje na internet. VPN server je potom bránou jen při propojování jednotlivých LAN mezi sebou.

V této situaci potřebuju blokovat nejen všechny vzdálené LAN (172.17.1.0, 172.17.3.0, 172.17.4.0) a VPN (172.17.10.0), ale i klienty na LAN, přes kterou se uživatelé budou připojovat (172.17.2.0), kde VPN nehraje roli.

Pokud koukam spravne, projde to prvnim pravidlem kde se packet dropne a do toho acceptu to uz neproleze - chce je to prohodit mezi sebou nebo u druhyho misto 'A'ppend dat 'I'nsert

iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.2.0/255.255.255.0 -j DROP iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -m iprange --dst-range 172.17.2.150-172.17.2.199 -j ACCEPT

Prakticky fungující řešení nakonec vypadá nakonec trochu odlišně.

Router s DD-WRT spoustu komunikace automaticky propouští, proto jsem vybral pouze DROP pravidla. Protože na router na síti 172.17.2.0 jsou napojená 3 APčka, vytvořil jsem 2 izolované virtuální sítě přímo v administraci DD-WRT (první VLAN zahrnuje 1 AP, druhá VLAN se týká 2 AP). Tu část sítě, kterou jsem chtěl izolovat, jsem umístil na vlastní rozsah IP adres (172.17.20.0/24). Pravidla pro omezení komunikace pro klienty připojované s dynamickou IP adresou přidělovanou DHCP jsou následující:

iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.10.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.4.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.3.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.2.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.1.0/255.255.255.0 -j DROP

Klienti mohou komunikovat pouze na vlastní síti (172.17.20.0/24) a druhá část sítě (172.17.2.0/24) připojená na stejný router jim není dostupná. Stejně tak jim je nedostupný celý zbytek VPN. Jediné, co jsem nedokázal vyřešit, je zamezení přístupu k AP a routeru (samozřejmě jsou zaheslované, takže se nejedná o velký problém).

Za zmínku taky stojí skutečnost, že DD-WRT zpracovává pravidla v opačném pořadí, než jak jsou zadávaná v příslušné části administrace.

31.5.2011 22:36 kunago
Rozbalit Rozbalit vše Re: iptables pravidla

Přirozeně se nejedná o síť 172.17.20.0/24, ale o 172.17.21.0/24 (překlep). DHCP přiděluje adresy v rozsahu 172.17.21.161-190.

Dotaz: iptables pravidla

Odpovědi