ฉันไม่เข้าใจว่าบล็อก smb บน virtual lan อย่างไร Virtual lan 10.10.10.0/24 ฉันใช้ UFW
/etc/ipsec.conf
การตั้งค่าคอนฟิก
charondebug="ike 1, knl 1, cfg 0"
รหัสเฉพาะ=ไม่มี
เชื่อมต่อ ikev2-vpn
อัตโนมัติ = เพิ่ม
บีบอัด=ไม่
พิมพ์=อุโมงค์
การแลกเปลี่ยนคีย์=ikev2
การกระจายตัว = ใช่
ฟอร์ซเอนแคป=ใช่
dpdaction=ชัดเจน
dpddelay=300 วินาที
คีย์ใหม่ = ไม่
ซ้าย = % ใด ๆ
leftid=@server_domain_or_IP
leftcert=เซิร์ฟเวอร์-cert.pem
leftsendcert=เสมอ
leftsubnet=0.0.0.0/0
ขวา=%ใดๆ
rightid=%ใดๆ
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightendcert=ไม่เคย
eap_identity=%เอกลักษณ์
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
/etc/ufw/before.rules
#กฎ.ก่อน
#
# กฎที่ควรรันก่อนบรรทัดคำสั่ง ufw เพิ่มกฎ กำหนดเอง
ควรเพิ่ม # กฎ ให้กับหนึ่งในห่วงโซ่เหล่านี้:
# ufw-ก่อนป้อนข้อมูล
# ufw ก่อนส่งออก
# ufw-ก่อนส่งต่อ
#
*แนท
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m นโยบาย --pol ipsec --dir out -j ACC>
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
ให้สัญญา
* แหลกเหลว
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp>
ให้สัญญา
# อย่าลบบรรทัดที่จำเป็นเหล่านี้ มิฉะนั้นจะมีข้อผิดพลาด
*กรอง
:ufw-ก่อนป้อนข้อมูล - [0:0]
:ufw-ก่อนเอาท์พุท - [0:0]
:ufw-ก่อนส่งต่อ - [0:0]
:ufw-ไม่ใช่ท้องถิ่น - [0:0]
# จบบรรทัดที่ต้องการ
-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10>
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.1>
# อนุญาตทั้งหมดในการย้อนกลับ
-A ufw-before-input -i lo -j ยอมรับ
-A ufw-before-output -o lo -j ยอมรับ
# ประมวลผลแพ็กเก็ตที่เราเชื่อมต่ออยู่แล้วอย่างรวดเร็ว
-A ufw-before-input -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A ufw-before-output -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A ufw-before-forward -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
# วางแพ็กเก็ตที่ไม่ถูกต้อง (บันทึกสิ่งเหล่านี้ในสื่อระดับบันทึกและสูงกว่า)
-A ufw-before-input -m conntrack --ctstate ไม่ถูกต้อง -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate ไม่ถูกต้อง -j DROP
# ตกลงรหัส icmp สำหรับ INPUT
-A ufw-before-input -p icmp --icmp-type ปลายทางไม่สามารถเข้าถึงได้ -j ACCEPT
-A ufw-before-input -p icmp --icmp-type เกินเวลา -j ยอมรับ
-A ufw-before-input -p icmp --icmp-type พารามิเตอร์-ปัญหา -j ยอมรับ
-A ufw-before-input -p icmp --icmp-type echo-request -j ยอมรับ
# ตกลงรหัส icmp สำหรับ FORWARD
-A ufw-before-forward -p icmp --icmp-type ปลายทางไม่สามารถเข้าถึงได้ -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type เกินเวลา -j ยอมรับ
-A ufw-before-forward -p icmp --icmp-type พารามิเตอร์-ปัญหา -j ยอมรับ
-A ufw-before-forward -p icmp --icmp-type echo-request -j ยอมรับ
# อนุญาตให้ไคลเอนต์ dhcp ทำงานได้
-A ufw-before-input -p udp --sport 67 --dport 68 -j ยอมรับ
#
# ufw-ไม่ใช่ของท้องถิ่น
#
-A ufw-before-input -j ufw-not-local
# ถ้าในพื้นที่ส่งคืน
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
# ถ้ามัลติคาสต์ ส่งคืน
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
#หากออกอากาศให้ส่งคืน
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
# แพ็คเก็ตที่ไม่ใช่ในเครื่องอื่น ๆ ทั้งหมดจะถูกทิ้ง
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
# อนุญาต MULTICAST mDNS สำหรับการค้นหาบริการ (ต้องแน่ใจว่าบรรทัด MULTICAST ด้านบน
#ไม่มีความคิดเห็น)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ยอมรับ
# อนุญาต MULTICAST UPnP สำหรับการค้นหาบริการ (ต้องแน่ใจว่าบรรทัด MULTICAST ด้านบน
#ไม่มีความคิดเห็น)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ยอมรับ
# อย่าลบบรรทัด 'COMMIT' มิฉะนั้นกฎเหล่านี้จะไม่ได้รับการประมวลผล
ให้สัญญา