iptables - мониторинг убитого

Vladimir Skubriev vladimir на skubriev.ru
Ср Янв 15 13:38:09 UTC 2014


15.01.2014 16:52, Роман пишет:
> Вот это правило прокатило.
>
> iptables -A INPUT  -p tcp -m tcp --dport 11194 -j ACCEPT
>
> iptables -A INPUT -i tap+ -j ACCEPT
> iptables -A FORWARD -i tap+ -j ACCEPT
>
> Можете кинуть мне свой конфиг сервера OprnVPN и клиента.
> Меня  интересует  как  вы создаете tap и параметры для клиенты от DHCP
> получают или как то иначе?
>
>
> VS> 14.01.2014 16:47, Роман пишет:
>>> а я уже и так делал
>>> -A INPUT  -p tcp -m tcp --dport 11194 -j ACCEPT
>>>
>>> не вышло... может потому что впн через tap ?
>>> другой интерфейс?
>>>
>>>
>>> VS> 14.01.2014 15:56, Роман пишет:
>>>>> Добрый день!
>>>>>
>>>>> Настраиваю  VPN  сервер  и уже есть IPtables с настроненными правилами
>>>>> для почты.
>>>>>
>>>>> ПРописил на нем
>>>>> iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEP
>>> VS> попробуйте без -m state --state NEW
>>> VS> и букву P в конце не забудьте.
>>>
> VS> Попробуй так, ну еще output добавь
>
> VS> У меня без них работает и тот же tap используется
>
> VS>         iptables -A INPUT -i tap+ -j ACCEPT
> VS>         iptables -A FORWARD -i tap+ -j ACCEPT
>
>>>>> (да, у меня tcp, а не udp)
>>>>>
>>>>> подключение   принимается,  сниффер  на  сервере  видит  обращения  от
>>>>> клиента, но соединение не устанавливается. Выключаю iptables stop
>>>>> и  все  подключается.
>>>>> Отсюда  вопрос  -  как  мне  понять,  что  надо разрешить?
>>>>>
>>>>> ПО  идее  можно было бы посмотреть, что блокируется с данного IP или в
>>>>> сторону данного IP и разрешить это. НО я не знак как мониторить....
>>>>>
>>>>>
>>>>>
>>> VS> --
>>> VS> --
>>> VS> Faithfully yours,
>>>
>>> VS> Vladimir Skubriev
>>>
>>>
>>>
>>>
>>>
>
> VS> --
> VS> --
> VS> Faithfully yours,
>
> VS> Vladimir Skubriev
>
>
>
>
>
Я настраиваю с помощью opscode chef cookbook openvpn )

server.conf:

# OpenVPN server config file
#
# Generated by Chef - local changes will be overwritten

port 1194
proto udp
dev tun
keepalive 10 120
comp-lzo
local XX.XX.XX.XX
push 'route 192.168.128.0 255.255.255.0'

# Keys and certificates.
ca   /etc/openvpn/keys/ca.crt
key  /etc/openvpn/keys/server.key # This file should be kept secret.
cert /etc/openvpn/keys/server.crt
dh   /etc/openvpn/keys/dh1024.pem

ifconfig-pool-persist /etc/openvpn/ipp.txt

server 10.8.0.0 255.255.0.0

user nobody
group nogroup

# avoid accessing certain resources on restart
persist-key
persist-tun

# current client connections
status /etc/openvpn/openvpn-status.log

# logging settings.
log-append  /var/log/openvpn.log
verb 1  # don't spam the log with messages.
mute 10 # suppress identical messages > 10 occurances.

script-security 1

skubriev.conf:

client
dev tun
proto udp
remote gate.example.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert skubriev.crt
key skubriev.key
comp-lzo
verb 3

роль openvpn сервера:

{
   "name": "openvpn_server",
   "description": "The server that runs OpenVPN",
   "json_class": "Chef::Role",
   "default_attributes": {
   },
   "override_attributes": {
     "openvpn": {
       "routes": [
         "push 'route 192.168.128.0 255.255.255.0'"
       ],
       "netmask": "255.255.0.0",
       "gateway": "gate.example.com",
       "key": {
         "country": "RU",
         "city": "CityTown",
         "email": "admin на int.example.com",
         "province": "61",
         "org": "ExampleCOM"
       },
       "subnet": "10.8.0.0"
     }
   },
   "chef_type": "role",
   "run_list": [
     "recipe[openvpn]",
     "recipe[openvpn::users_ldap]"
   ],
   "env_run_lists": {
   }
}

     "recipe[openvpn::users_ldap]" - дописывал сам )

Рекомендую обратить внимание на chef-solo (и если будет время berkshelf)

При помощи chef-solo и измененной роли если вникнуть в chef-solo, 
openvpn настраивается одной командой )

Остаеться только раздать архивы с конфигами юзерам.

Инструкция для юзеров тоже есть если что.

Если еще что то надо пишите.

-- 
--
Faithfully yours,

Vladimir Skubriev




More information about the ubuntu-ru mailing list