Přihlášení | Registrace

napište » Zprávičky

Google I/O 2025

dnes 18:11 | IT novinky

Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

Red Hat Summit 2025

dnes 15:22 | Komunita

V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).

Ladislav Hagara | Komentářů: 0

Red Hat Enterprise Linux 10

dnes 15:00 | Nová verze

Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Home Assistant Community Day

dnes 12:22 | Pozvánky

Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.

jose17 | Komentářů: 0

Have I Been Pwned 2.0

dnes 04:44 | IT novinky

Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevili v únicích dat a případně se nechat na další úniky upozorňovat.

Ladislav Hagara | Komentářů: 13

Microsoft představil textový editor Edit bežící v terminálu

včera 23:22 | Zajímavý software

Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 7

Windows Subsystem for Linux je nově open source

včera 22:22 | Zajímavý software

V Seattlu a také online probíhá konference Microsoft Build 2025. Microsoft představuje své novinky. Windows Subsystem for Linux je nově open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0

Turris Sentinel – co přinesl rok 2024

včera 13:11 | Zajímavý článek

Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."

Ladislav Hagara | Komentářů: 1

GIMP 3.0.4

včera 12:44 | Nová verze

Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

Vivaldi 7.4

včera 12:33 | Nová verze

Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (60%)

python (24%)

perl (10%)

powershell (0%)

batch (0%)

vbscript (0%)

jiný, uvedu v diskusi (7%)

Celkem 42 hlasů

Komentářů: 4, poslední včera 22:41

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / izolovanie vpn klientov

Štítky: Internet, klient, OpenVPN, server, siet, UFW, VPN

Dotaz: izolovanie vpn klientov

18.2.2018 13:27 darebacik
izolovanie vpn klientov

Přečteno: 419×

Odpovědět | Admin

Na linuxe mi bezi openvpn server. Poziadavky neforwardujem mimo vpn, ale klient ma pristup len v ramci openvpn. Ak pouzijem v server.conf direktivu

client-to-client

tak klienti sa vidia (ak to zaremujem # tak sa nevidia (samozrejme)). VPN siet je 10.8.0.0/24. Mam tam asi 20 klientov a potrebujem urobit nasledovne:
Chcem aby klienti na seba nevideli, avsak jedna IP (10.8.0.10) aby na klientov videla. Je to mozne urobit ? Pouzivam ufw a na zaciatku mam pravidlo

Anywhere                   ALLOW       10.8.0.10

Ak client-to-client povolim, tak sa vidia vsetci. Ak client-to-client zakazem tak nevidi nikto nikoho, ale ani IP 10.8.0.10 nevidi na klientov. Mozno by to slo spravit tak, ze na client-to-client sa vykaslat a poriesit to cisto v ufw (len zatial ma nenapada ako).

Nástroje: Začni sledovat (0) ?

Odpovědi

18.2.2018 15:51 lieko
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

da sa to vyriesit tak ze client-to-client nepouzijes a pre klienta ktoreho potrebujes aby videl nastavit iptables pravidlo.

ak nie je client-to-client zapnuty vpn server sa bude spravat ako router on the stick aj ked su klienti v rovnakej sieti. Pakety budu dekapsulovane ked budu vychadzat z tun interfaceu a potom smerovane naspat do tun interfacu a opat enkapsulovane aby boli spravne poslane.

18.2.2018 16:54 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Pravdepodobne mas ve firewallu default allow takze poustis vsechno..

18.2.2018 17:29 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Mozno to mam nastavene nemotorne, ale mam to takto:

22                         ALLOW IN    Anywhere			#mozno je to nebezpecne, ale neviem odkial sa budem pripajat
1194/tcp                   ALLOW IN    Anywhere			#openvpn pre vsetkych
26510/tcp                  ALLOW IN    Anywhere			#otvoreny port pre vsetkych (a jedine ten vyuzivaju vpn klienti)		
Anywhere                   ALLOW IN    10.8.0.10		#ta adresa by mala vidiet vpn klientov (ale vpn klienti by ju nemali vidiet)
21                         DENY IN     10.8.0.0/24		#napr. ftp pre vpn klientov uzavrete
21                         ALLOW IN    Anywhere			#ftp pre ostatnych otvorene
80                         DENY IN     10.8.0.0/24		#http pre vpn klientov zatvorene
80/tcp                     ALLOW IN    Anywhere			#http pre ostatnych otvorene
443                        DENY IN     10.8.0.0/24		#https pre pre vpn klientov zatvorene
443                        ALLOW IN    Anywhere			#https  pre ostatnych otvorene

Ale evidentne mi to az tak dobre nefunguje, lebo ak povolim client to client tak vpn klient prejde aj cez port 21 aj 80 atd ... takze tam nieco je blbo (ak client to client zakazem, tak klient nevidi nic, ale to by nevidel aj bez firewallu)
Chcem aby to fungovalo tak, ze vpn klienti komunikuju "len cez port 26510" + jeden vpn klient (10.8.0.10) na vpn klientov videl (cize aby mal otvorene vsetky porty vo vpn sieti).

18.2.2018 19:02 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Ve vypisu neni videt defaultni politika. Jinak pri zaplem clien-to-client si to VPN forwarduje interne a obchazi to klasicka pravidla. Tudy cesta nevede. Tcpdump je tvuj kamarad..

18.2.2018 19:20 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

nano /etc/default/ufw

IPV6=no
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="ACCEPT"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

18.2.2018 21:31 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

DEFAULT_FORWARD_POLICY="ACCEPT"

Tady povolujes veskerou komunikaci prochazejici boxem, kterou explicitne nezakazes.

19.2.2018 15:31 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Neni to router ani GW, ale koncovy server, takze politika pre forward sa tam asi neuplatnuje.
Pravidla pre virtualnu siet sa v normalnom firewalle neuplatnuju ? Pre vpn treba nejaky spec. firewall ?

19.2.2018 17:23 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Pokud maji zarizeni komunikovat mezi sebou tak se snad forward uplatnuje, minimalne v routed VPN rezimu. Pravidla pro virtualni interface funguji uplne stejne. Dej drop policy na forward vyhod z VPN konfigurace client-to-client a povol forward pro 10.8.0.10 a bude to fungovat.

20.2.2018 09:34 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Otazka! Na forward politiku som uplatnil drop