Přihlášení | Registrace

napište » Zprávičky

včera 13:44 | Nová verze

Byla vydána beta verze Linux Mintu 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 0

Britský soud zamítl žalobu Wikipedie proti novému zákonu o on-line bezpečnosti

včera 13:00 | IT novinky

Provozovatel internetové encyklopedie Wikipedie prohrál v Británii soudní spor týkající se některých částí nového zákona o on-line bezpečnosti. Soud ale varoval britského regulátora Ofcom i odpovědné ministerstvo před zaváděním přílišných omezení. Legislativa zpřísňuje požadavky na on-line platformy, ale zároveň čelí kritice za možné omezování svobody slova. Společnost Wikimedia Foundation, která je zodpovědná za fungování

… více »

Ladislav Hagara | Komentářů: 1

Syncthing 2.0.0

včera 12:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro synchronizaci dat mezi vícero počítači bez centrálního serveru Syncthing (Wikipedie). Přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 2

Trump po osobním setkání chválil šéfa Intelu, před týdnem ho vyzval k rezignaci

včera 12:33 | IT novinky

Americký prezident Donald Trump se v pondělí osobně setkal s generálním ředitelem firmy na výrobu čipů Intel Lip-Bu Tanem. Šéfa podniku označil za úspěšného, informují agentury. Ještě před týdnem ho přitom ostře kritizoval a požadoval jeho okamžitý odchod. Akcie Intelu v reakci na schůzku po oficiálním uzavření trhu zpevnily asi o tři procenta.

Ladislav Hagara | Komentářů: 9

Debian GNU/Hurd 2025

11.8. 04:55 | Nová verze

Byl vydán Debian GNU/Hurd 2025. Jedná se o port Debianu s jádrem Hurd místo obvyklého Linuxu.

Ladislav Hagara | Komentářů: 5

openSUSE je s námi už 20 let

11.8. 02:44 | Komunita

V sobotu 9. srpna uplynulo přesně 20 let od oznámení projektu openSUSE na konferenci LinuxWorld v San Franciscu. Pokuď máte archivní nebo nějakým způsobem zajímavé fotky s openSUSE, můžete se o ně s námi podělit.

lkocman | Komentářů: 5

Debian 13 Trixie

9.8. 21:11 | Nová verze

Byl vydán Debian 13 s kódovým názvem Trixie. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 8

WLED – Wi-Fi ovládání RGB LED

9.8. 15:55 | Zajímavý software

WLED je open-source firmware pro ESP8266/ESP32, který umožňuje Wi-Fi ovládání adresovatelných LED pásků se stovkami efektů, synchronizací, audioreaktivním módem a Home-Assistant integrací. Je založen na Arduino frameworku.

Indiánský lotr | Komentářů: 0

Home Assistant 2025.8

8.8. 15:33 | Nová verze

Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.8.

Ladislav Hagara | Komentářů: 11

Byla vydána Mafia: Domovina

8.8. 14:22 | IT novinky

Herní studio Hangar 13 vydalo novou Mafii. Mafia: Domovina je zasazena do krutého sicilského podsvětí na začátku 20. století. Na ProtonDB je zatím bez záznamu.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (47%)

5-15 (21%)

16-30 (4%)

31-50 (5%)

51-70 (3%)

71-100 (1%)

101-130 (1%)

>131 (18%)

Celkem 341 hlasů

Komentářů: 23, poslední 4.8. 13:01

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / izolovanie vpn klientov

Štítky: Internet, klient, OpenVPN, server, siet, UFW, VPN

Dotaz: izolovanie vpn klientov

18.2.2018 13:27 darebacik
izolovanie vpn klientov

Přečteno: 422×

Odpovědět | Admin

Na linuxe mi bezi openvpn server. Poziadavky neforwardujem mimo vpn, ale klient ma pristup len v ramci openvpn. Ak pouzijem v server.conf direktivu

client-to-client

tak klienti sa vidia (ak to zaremujem # tak sa nevidia (samozrejme)). VPN siet je 10.8.0.0/24. Mam tam asi 20 klientov a potrebujem urobit nasledovne:
Chcem aby klienti na seba nevideli, avsak jedna IP (10.8.0.10) aby na klientov videla. Je to mozne urobit ? Pouzivam ufw a na zaciatku mam pravidlo

Anywhere                   ALLOW       10.8.0.10

Ak client-to-client povolim, tak sa vidia vsetci. Ak client-to-client zakazem tak nevidi nikto nikoho, ale ani IP 10.8.0.10 nevidi na klientov. Mozno by to slo spravit tak, ze na client-to-client sa vykaslat a poriesit to cisto v ufw (len zatial ma nenapada ako).

Nástroje: Začni sledovat (0) ?

Odpovědi

18.2.2018 15:51 lieko
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

da sa to vyriesit tak ze client-to-client nepouzijes a pre klienta ktoreho potrebujes aby videl nastavit iptables pravidlo.

ak nie je client-to-client zapnuty vpn server sa bude spravat ako router on the stick aj ked su klienti v rovnakej sieti. Pakety budu dekapsulovane ked budu vychadzat z tun interfaceu a potom smerovane naspat do tun interfacu a opat enkapsulovane aby boli spravne poslane.

18.2.2018 16:54 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Pravdepodobne mas ve firewallu default allow takze poustis vsechno..

18.2.2018 17:29 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Mozno to mam nastavene nemotorne, ale mam to takto:

22                         ALLOW IN    Anywhere			#mozno je to nebezpecne, ale neviem odkial sa budem pripajat
1194/tcp                   ALLOW IN    Anywhere			#openvpn pre vsetkych
26510/tcp                  ALLOW IN    Anywhere			#otvoreny port pre vsetkych (a jedine ten vyuzivaju vpn klienti)		
Anywhere                   ALLOW IN    10.8.0.10		#ta adresa by mala vidiet vpn klientov (ale vpn klienti by ju nemali vidiet)
21                         DENY IN     10.8.0.0/24		#napr. ftp pre vpn klientov uzavrete
21                         ALLOW IN    Anywhere			#ftp pre ostatnych otvorene
80                         DENY IN     10.8.0.0/24		#http pre vpn klientov zatvorene
80/tcp                     ALLOW IN    Anywhere			#http pre ostatnych otvorene
443                        DENY IN     10.8.0.0/24		#https pre pre vpn klientov zatvorene
443                        ALLOW IN    Anywhere			#https  pre ostatnych otvorene

Ale evidentne mi to az tak dobre nefunguje, lebo ak povolim client to client tak vpn klient prejde aj cez port 21 aj 80 atd ... takze tam nieco je blbo (ak client to client zakazem, tak klient nevidi nic, ale to by nevidel aj bez firewallu)
Chcem aby to fungovalo tak, ze vpn klienti komunikuju "len cez port 26510" + jeden vpn klient (10.8.0.10) na vpn klientov videl (cize aby mal otvorene vsetky porty vo vpn sieti).

18.2.2018 19:02 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Ve vypisu neni videt defaultni politika. Jinak pri zaplem clien-to-client si to VPN forwarduje interne a obchazi to klasicka pravidla. Tudy cesta nevede. Tcpdump je tvuj kamarad..

18.2.2018 19:20 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

nano /etc/default/ufw

IPV6=no
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="ACCEPT"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

18.2.2018 21:31 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

DEFAULT_FORWARD_POLICY="ACCEPT"

Tady povolujes veskerou komunikaci prochazejici boxem, kterou explicitne nezakazes.

19.2.2018 15:31 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Neni to router ani GW, ale koncovy server, takze politika pre forward sa tam asi neuplatnuje.
Pravidla pre virtualnu siet sa v normalnom firewalle neuplatnuju ? Pre vpn treba nejaky spec. firewall ?

19.2.2018 17:23 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Pokud maji zarizeni komunikovat mezi sebou tak se snad forward uplatnuje, minimalne v routed VPN rezimu. Pravidla pro virtualni interface funguji uplne stejne. Dej drop policy na forward vyhod z VPN konfigurace client-to-client a povol forward pro 10.8.0.10 a bude to fungovat.

20.2.2018 09:34 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov

Otazka! Na forward politiku som uplatnil drop