iptables - อนุญาตให้เข้าถึงเพียงพอร์ตเดียวบนเครือข่ายย่อยที่แตกต่างกัน

Turnspit

6/11/22 07:46

ฉันมีเซิร์ฟเวอร์ OpenVPN และกำลังทำงานอยู่ ซึ่งขณะนี้อนุญาตให้กำหนดเส้นทางการรับส่งข้อมูลทั้งหมดระหว่างเครือข่าย VPN (10.8.0.0/24) และ LAN (192.168.2.0/24) iptables ของฉันมีลักษณะดังนี้:

iptables -t ตัวกรอง -F
iptables -t แนท -F
iptables -A FORWARD -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j ACCEPT
iptables -A ไปข้างหน้า -i tun0 -j ยอมรับ
iptables -A FORWARD -i eth0 -j ยอมรับ
iptables -A ส่งต่อ -j ปฏิเสธ
iptables -t nat -A POSTROUTING -s '10.8.0.0/24' -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.2.26
iptables -t nat -A POSTROUTING -s '192.168.2.0/24' -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o tun0 -j SNAT --to-source 10.8.0.1

192.168.2.26 & 10.8.0.1 เป็นอินเทอร์เฟซบนเซิร์ฟเวอร์ VPN

ตอนนี้ฉันกำลังมองหาที่จะจำกัดให้แคบลงและอนุญาตเฉพาะเป้าหมายเฉพาะสำหรับผู้ใช้ที่เฉพาะเจาะจงเท่านั้น ตัวอย่างหนึ่ง:

ฉันต้องการให้ผู้ใช้ที่มี IP 10.8.0.10 สามารถเข้าถึง 192.168.2.100 บนพอร์ต 8080 เท่านั้น และไม่มีอะไรอื่นในซับเน็ต LAN หลังจากใช้ Google เป็นจำนวนมาก ฉันได้ลองผสม SNAT และ DNAT เข้าด้วยกัน แต่ไม่พบวิธีแก้ปัญหา

ฉันจะใช้สถานการณ์ข้างต้นได้อย่างไร

139

1 + 0

iptables

ทรูคริป

Score:1

Server

Turnspit

9/11/22 04:53

ดังนั้นฉันจึงพบวิธีแก้ปัญหาของฉัน หากมีใครต้องการความช่วยเหลือและสะดุดกับสิ่งนี้:

ฉันทิ้ง iptables แล้วไปหา ufw

/etc/sysctl.conf:

net.ipv4.ip_forward=1

/etc/default/ufw:

DEFAULT_FORWARD_POLICY="DROP"

/etc/ufw/before.rules:

# เริ่มกฎ OPENVPN
# กฎตาราง NAT
*แนท
:หลังยอมรับ [0:0]
# อนุญาตการรับส่งข้อมูลระหว่าง OpenVPN และ LAN
-A โพสต์ -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0 -o tun0 -j MASQUERADE
ให้สัญญา
# สิ้นสุดกฎของ OpenVPN

ด้วยวิธีนี้ทุกอย่างจะถูกตั้งค่าสำหรับการกำหนดเส้นทางและการส่งต่อ โดยไม่ต้องส่งต่ออะไรเลยเนื่องจากนโยบาย "ปล่อย" เริ่มต้น

ในการกำหนดเส้นทาง IP เดียวไปยังพอร์ตบน IP อื่นของเครือข่ายย่อยอื่นตามที่อธิบายไว้ในคำถาม ฉันเพียงต้องเรียกใช้ชุดกฎต่อไปนี้:

เส้นทาง sudo ufw อนุญาตใน tun0 ออกใน eth0 ถึง 192.168.2.100 proto tcp port 8080 จาก 10.8.0.10

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: iptables - allowing access to only a single port on different subnet

TH: iptables - อนุญาตให้เข้าถึงเพียงพอร์ตเดียวบนเครือข่ายย่อยที่แตกต่างกัน

RO: iptables - permițând accesul la un singur port pe o subrețea diferită

RU: iptables - разрешить доступ только к одному порту в другой подсети

VI: iptables - chỉ cho phép truy cập vào một cổng duy nhất trên mạng con khác nhau

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา