Přihlášení | Registrace

napište » Zprávičky

včera 18:33 | Nová verze

Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.

Ladislav Hagara | Komentářů: 0

Bezpečnostní problém PKFail v ekosystému UEFI

včera 05:11 | Bezpečnostní upozornění

Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.

Ladislav Hagara | Komentářů: 11

/e/OS 2.2

včera 02:22 | Nová verze

Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.

Ladislav Hagara | Komentářů: 2

Společnost OpenAI představila vyhledávač SearchGPT

včera 01:22 | IT novinky

Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.

Ladislav Hagara | Komentářů: 0

Linux Mint 22 „Wilma“

včera 00:11 | Nová verze

Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.

Fluttershy, yay! | Komentářů: 2

Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu

25.7. 17:44 | Zajímavý článek

Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.

Ladislav Hagara | Komentářů: 2

Qt Creator 14

25.7. 17:22 | Nová verze

Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.

Ladislav Hagara | Komentářů: 0

Rust 1.80.0

25.7. 17:11 | Nová verze

Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

Beta verze Apple Maps na webu

25.7. 14:11 | IT novinky

Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.

Ladislav Hagara | Komentářů: 23

2024 Stack Overflow Developer Survey

25.7. 13:11 | IT novinky

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / OpenVPN - filtrování přenosu mezi klienty

Štítky: bez, firewally, input, Internet, iptables, komunikace, OpenVPN, port, server, VPN

Dotaz: OpenVPN - filtrování přenosu mezi klienty

9.5.2013 20:12 Bou
OpenVPN - filtrování přenosu mezi klienty

Přečteno: 775×

Odpovědět | Admin

Zdravím, mám OpenVPN server, ke kterému se připojuje X klientů. Nekteří klienti spolu potřebují komunikovat proto jsem povolil: client-to-client Vše bez poroblémů funguje, jenom bych potřeboval u jednoho klienta omezit přístup pouze na některé klienty. Pomocí iptables se mi daří omezit přístup jenom na server- i když nastavím politiku u INPUT i FORWARD na DROP a jediné pravidlo je, že nechám otevřený VPN port, na komunikaci mezi klienty to nemá vubec vliv.

Dá se komunikace na serveru nějakým způsobem filtrovat, nebo musím použít filtrování pomocí iptables u každého klienta?(což je značně nevýhodné)

Díky

Řešení dotazu:

Nástroje: Začni sledovat (1) ?

Odpovědi

9.5.2013 20:26 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Ahoj, teď střílím od boku, ale zkusil bych vypnout client-to-client a potom do iptables na serveru přidat pravidla ve stylu:

iptables -A FORWARD -i tap0 -s x.x.x.x -d y.y.y.y -j ACCEPT
iptables -A FORWARD -i tap0 -s x.x.x.x -d z.z.z.z -j ACCEPT
iptables -A FORWARD -i tap0 -s x.x.x.x -o tap0 -j REJECT
iptables -A FORWARD -i tap0 -o tap0 -j ACCEPT

Samozřejmostí je povolený IPv4 forward v sysctl.

Těmito pravidly bys měl zajistit, že klient s IP x.x.x.x může komunikovat s y.y.y.y a z.z.z.z a s žádným jiným.

9.5.2013 20:35 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Já myslel, že client-to-client tam (v configu serveru) musí být, aby na sebe klienti viděli....zítra vyzkouším, uvidím :-)

Každpodápně díky za radu

9.5.2013 20:42 NN
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Tipnu pravidlo:

 iptables -A FORWARD -i tun0 -o tun0 -s klient -d zakaz -j DROP

9.5.2013 20:58 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Ve FORWARD mám politiku DROP a není tam vubec žádné pravidlo. Jestli to dobře chápu, tak by se měl iptables všechny FORWARD pakety zahazovat- ale komunikace mezi klienty blokována není.

9.5.2013 21:00 Petr
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Ahoj,

Podle mne to spis zalezi, jaky typ adapteru pouzivas. Nezkousel jsem to, ale pokud bych mel strelit od pasu, tak:

Pokud pouzivas TAP adapter/zarizeni tak komunikace mezi klienty neni na urovni L3 ale L2, tudiz do toho iptables nemaji co mluvit (na vyjimky, jak iptables zasahuji do pravidel v L2 pri bridgovani ted nebudeme myslet, protoze to se tu primarne neresi). Pokud to chces omezit v tomto pripade, tak se zkus podivat na ebtables.

Pokud pouzivas TUN adapter/zarizeni tak komunikace mezi klienty je na urovni L3 a potom bys mel mit moznost tuto komunikaci pomoci iptables tvarovat.

9.5.2013 21:14 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Používám adapter TUN - přes to se mi to nedaří pomocí iptables filtrovat...

9.5.2013 21:25 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

V tomto pripade vypni client-to-client a pouprav si mnou uvedena pravidla vyse (tapX -> tunX) a melo by ti to fungovat.

9.5.2013 21:33 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Díky moc, zítra vyzkouším...

10.5.2013 07:16 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Ahoj, pokud vypnu client-to-client, tak na sebe klienti nevidí, i když jsem přidal do iptables uvedená pravidla.

9.5.2013 21:21 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

No myslim,ze toto je nejpresnejsi odpoved. Prave tim jsem si nebyl uplne jist, za jakych podminek dokazi iptables pracovat na L2. Me uz to nekolikrat vypeklo, kdyz se mi filtroval provoz prave na bridgi...

10.5.2013 08:52 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Celá tahle věc na mě dělá dojem, že po vytvoření VPN tunelu komunikace přes server (samozřejmě myslím virtuální adaptér TUN/TAP) nechodí. Jako by klienti mezi sebou komunikovali přímo, bez FORWADRU přes server. V tom případě asi budu těžko na serveru něco filtrovat. Nebo se mýlím?

10.5.2013 09:15 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Kdepak, pokud máš vypnutý client-to-client a routovaný interface (tun), tak bys měl být schopen plně "vládnout" veškerému provozu. Asi bych napřed zkusil přepnout na politiku ACCEPT pro všechny směry a zkusil znova. Potom případně prozkoumat nastavení kernelu nejlépe přes sysctl, mám na mysli nastavení okolo ipv4.forward, send_redirects, proxy_arp apod...

Tady máš důkaz, že to funguje.

10.5.2013 11:12 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Zajímavý článek, díky. Když ale vypnu client-to-client a dávám ping mezi klienty, tak se mi při použití tcpdump -v -n -i tun0 nic nevypíše. ipv4.forward má povolené, je ještě potřeba něco nastavit?

13.5.2013 17:24 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Vyřešeno- kdyby někdo řešil něco podbného:

Je potřeba vnutit ostatním klientům routu na server. Tj. do konfiguračního souboru serveru přidat například:

push "route 10.8.0.0. 255.255.255.0"

Potom skuteně veškerý porovoz mezi klienty chodí přes FORWARD a lze jej pomocí iptables filtrovat. Všem díky za rady a pomoc

10.5.2013 10:09 Jezus | skóre: 15 | Jablunkov
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Je to přesně tak jak píšeš. Pokud máš zaplou direktivu client-to-client, tak komunikace mezi klienty nevylézá do systému, ale OpenVPN si to managuje samo. client-to-client komunikaci nejsi schopen filtrovat na úrovni systémových iptables.

Takže buďto můžes ackeptovat tento fakt, nebo si klienty rozdělit do více OpenVPNek a pak mezi různými tun rozhraními už iptables použít.

10.5.2013 14:03 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Klidně to může být v jedné VPN, jen se to musí routovat.

10.5.2013 14:20 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Takže např. přiřadit jednomu klientovi (u kterého chci filtrovat pakety) IP adresu z jiného rozsahu (např: 10.8.1.0 místo původního 10.8.0.0) potom dát server příslušnou routu:

ip route add 10.8.1.0/24 via 10.8.0.1

A client-to-client v tomto případě nechat zapnuté?

10.5.2013 14:43 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Client to client se vypne, neni potřeba.

11.5.2013 17:29 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Pokud dám klientovi adresu z jiného rozsahu a přidám na serveru uvedenou routu, nemůžu se dostat na žádného jiného klienta, i když mám client-to-client zapnuté (s vypnutým se také nedostanu).

Nějaké nápady? Nejvíc se mi líbí nápad client-to-client vypnout a nechat klienty ve stejném adresním rozsahu, jak už uváděl Zdeněk. Jenom nevím, co nastavit, aby klienti mohli navzájem komunikovat- teď může jenom klient-server. ipv4.forward mám nastavený na 1, je potřeba ještě něco dalšího?

11.5.2013 18:53 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Jenže když jsou ve stejném segmentu, tak se ten trafic neroutuje, že... Takže logicky nelze tu komunikaci na serveru nijak řídit.

11.5.2013 19:44 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

A v případě, že bych měl tedy jiný síťový segment, jak ho zpřístupním jiným klientům? Musím přidat routu (případně jakou - stejnou, jako jsem již uváděl? ) i všem ostatním klientům? S routou pouze na serveru jsem na ostatní klienty neviděl...

12.5.2013 03:24 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Push direktiva v OpenVPN, nebo jak přesně se to jmenuje...

11.5.2013 19:55 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

Pokud chceš, ozvi se mi v pondělí třeba na jabber a můžeme to zkusit vyřešit...

11.5.2013 20:35 Bou
Rozbalit Rozbalit vše Re: OpenVPN - filtrování přenosu mezi klienty

OK, díky.... ozvu se.

Založit nové vlákno • Nahoru