abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 13:11 | Nová verze

    Bylo vydáno OpenBSD 7.8. S předběžnou podporou Raspberry Pi 5. Opět bez písničky.

    Ladislav Hagara | Komentářů: 0
    dnes 05:44 | Nová verze Ladislav Hagara | Komentářů: 2
    dnes 05:22 | Bezpečnostní upozornění

    Byly publikovány informace o kritické zranitelnosti v knihovně pro Rust async-tar a jejích forcích tokio-tar, krata-tokio-tar a astral-tokio-tar. Jedná se o zranitelnost CVE-2025-62518 s CVSS 8.1. Nálezci je pojmenovali TARmageddon.

    Ladislav Hagara | Komentářů: 0
    včera 23:15 | Nová verze

    AlmaLinux přinese s verzí 10.1 podporu btrfs. XFS bude stále jako výchozí filesystém, ale instalátor nabídne i btrfs. Více informací naleznete v oficiálním oznámení.

    Max | Komentářů: 1
    včera 22:33 | IT novinky

    Společnost OpenAI představila svůj vlastní webový prohlížeč ChatGPT Atlas. Zatím je k dispozici pouze na macOS.

    Ladislav Hagara | Komentářů: 0
    včera 14:33 | Nová verze

    Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.5 (Mastodon). Přehled novinek i s videi a se snímky obrazovek v oficiálním oznámení. Podrobný přehled v seznamu změn.

    Ladislav Hagara | Komentářů: 2
    včera 13:55 | IT novinky

    Rodina jednodeskových počítačů Orange Pi se rozrostla (𝕏) o Orange Pi 6 Plus.

    Ladislav Hagara | Komentářů: 6
    včera 13:33 | IT novinky

    Na Humble Bundle běží akce Humble Tech Book Bundle: All Things Raspberry Pi by Raspberry Pi Press. Se slevou lze koupit elektronické knihy od nakladatelství Raspberry Pi Press a podpořit Raspberry Pi Press, Raspberry Pi Foundation North America nebo Humble.

    Ladislav Hagara | Komentářů: 0
    včera 11:44 | Humor

    Přidaný režim autonomního řízení vozidel Tesla Mad Max je dostupný pro vybrané zákazníky v programu EAP (Early Access Program). Nový režim je na silnici agresivnější, častěji mění pruhy a ne vždy dodržuje rychlostní limity. Agentura JPP spekuluje, že v Česku by se mohl nový režim namísto Mad Max jmenovat Mad Turek...

    karkar | Komentářů: 23
    včera 04:00 | Nová verze

    Byla vydána nová verze 9.18 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Nově také pro NanoPi R3S, R3S LTS, R76S a M5. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (37%)
     (48%)
     (20%)
     (20%)
     (22%)
     (18%)
     (20%)
     (18%)
     (18%)
    Celkem 254 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Dotaz: izolovanie vpn klientov

    18.2.2018 13:27 darebacik
    izolovanie vpn klientov
    Přečteno: 425×
    Na linuxe mi bezi openvpn server. Poziadavky neforwardujem mimo vpn, ale klient ma pristup len v ramci openvpn. Ak pouzijem v server.conf direktivu
    client-to-client
    tak klienti sa vidia (ak to zaremujem # tak sa nevidia (samozrejme)). VPN siet je 10.8.0.0/24. Mam tam asi 20 klientov a potrebujem urobit nasledovne:
    Chcem aby klienti na seba nevideli, avsak jedna IP (10.8.0.10) aby na klientov videla. Je to mozne urobit ? Pouzivam ufw a na zaciatku mam pravidlo
    Anywhere                   ALLOW       10.8.0.10
    Ak client-to-client povolim, tak sa vidia vsetci. Ak client-to-client zakazem tak nevidi nikto nikoho, ale ani IP 10.8.0.10 nevidi na klientov. Mozno by to slo spravit tak, ze na client-to-client sa vykaslat a poriesit to cisto v ufw (len zatial ma nenapada ako).

    Odpovědi

    18.2.2018 15:51 lieko
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    da sa to vyriesit tak ze client-to-client nepouzijes a pre klienta ktoreho potrebujes aby videl nastavit iptables pravidlo.

    ak nie je client-to-client zapnuty vpn server sa bude spravat ako router on the stick aj ked su klienti v rovnakej sieti. Pakety budu dekapsulovane ked budu vychadzat z tun interfaceu a potom smerovane naspat do tun interfacu a opat enkapsulovane aby boli spravne poslane.

    18.2.2018 16:54 NN
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    Pravdepodobne mas ve firewallu default allow takze poustis vsechno..
    18.2.2018 17:29 darebacik
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    Mozno to mam nastavene nemotorne, ale mam to takto:
    22                         ALLOW IN    Anywhere			#mozno je to nebezpecne, ale neviem odkial sa budem pripajat
    1194/tcp                   ALLOW IN    Anywhere			#openvpn pre vsetkych
    26510/tcp                  ALLOW IN    Anywhere			#otvoreny port pre vsetkych (a jedine ten vyuzivaju vpn klienti)		
    Anywhere                   ALLOW IN    10.8.0.10		#ta adresa by mala vidiet vpn klientov (ale vpn klienti by ju nemali vidiet)
    21                         DENY IN     10.8.0.0/24		#napr. ftp pre vpn klientov uzavrete
    21                         ALLOW IN    Anywhere			#ftp pre ostatnych otvorene
    80                         DENY IN     10.8.0.0/24		#http pre vpn klientov zatvorene
    80/tcp                     ALLOW IN    Anywhere			#http pre ostatnych otvorene
    443                        DENY IN     10.8.0.0/24		#https pre pre vpn klientov zatvorene
    443                        ALLOW IN    Anywhere			#https  pre ostatnych otvorene
    Ale evidentne mi to az tak dobre nefunguje, lebo ak povolim client to client tak vpn klient prejde aj cez port 21 aj 80 atd ... takze tam nieco je blbo (ak client to client zakazem, tak klient nevidi nic, ale to by nevidel aj bez firewallu)
    Chcem aby to fungovalo tak, ze vpn klienti komunikuju "len cez port 26510" + jeden vpn klient (10.8.0.10) na vpn klientov videl (cize aby mal otvorene vsetky porty vo vpn sieti).
    18.2.2018 19:02 NN
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    Ve vypisu neni videt defaultni politika. Jinak pri zaplem clien-to-client si to VPN forwarduje interne a obchazi to klasicka pravidla. Tudy cesta nevede. Tcpdump je tvuj kamarad..
    18.2.2018 19:20 darebacik
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    nano /etc/default/ufw
    IPV6=no
    DEFAULT_INPUT_POLICY="DROP"
    DEFAULT_OUTPUT_POLICY="ACCEPT"
    DEFAULT_FORWARD_POLICY="ACCEPT"
    DEFAULT_APPLICATION_POLICY="SKIP"
    MANAGE_BUILTINS=no
    IPT_SYSCTL=/etc/ufw/sysctl.conf
    IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"
    
    18.2.2018 21:31 NN
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    DEFAULT_FORWARD_POLICY="ACCEPT"
    Tady povolujes veskerou komunikaci prochazejici boxem, kterou explicitne nezakazes.
    19.2.2018 15:31 darebacik
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    Neni to router ani GW, ale koncovy server, takze politika pre forward sa tam asi neuplatnuje.
    Pravidla pre virtualnu siet sa v normalnom firewalle neuplatnuju ? Pre vpn treba nejaky spec. firewall ?
    19.2.2018 17:23 NN
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    Pokud maji zarizeni komunikovat mezi sebou tak se snad forward uplatnuje, minimalne v routed VPN rezimu. Pravidla pro virtualni interface funguji uplne stejne. Dej drop policy na forward vyhod z VPN konfigurace client-to-client a povol forward pro 10.8.0.10 a bude to fungovat.
    20.2.2018 09:34 darebacik
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    Otazka! Na forward politiku som uplatnil drop
    DEFAULT_FORWARD_POLICY="DROP"
    restart vpn
    /etc/init.d/openvpn restart
    a vo vpn sieti sa vsetci dalej vidia (este som ani nerobil forward pre danu IP (10.8.0.10)). Takze asi tam nebude vsetko s kostolnym poriadkom.
    20.2.2018 09:40 darebacik
    Rozbalit Rozbalit vše Re: izolovanie vpn klientov
    Opravujem, nie restart openvpn, ale restart firewall
    ufw disable
    ufw enable

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.