Hallo zusammen,
ich komme mit meiner Konfiguration der iptables für meinen Server nicht weiter. Folgendes möchte ich erreichen:
1. Es darf nur ein VPN Port (1194) nach außen hin sichtbar sein (check)
2. Wenn man im VPN an dem Server angemeldet ist, darf man auf weitere Ports/Dienste (z.b. 21 FTP) zugreifen (Problem)
Das VPN Netz ist mit 10.8.0.0/24 verfügbar. Ich habe in der iptables folgendes versucht um das 2. Ziel zu erreichen:
1 2 3 4 5 6 7 8 | -A INPUT -s 127.0.0.1 -p tcp -j ACCEPT -A INPUT -s 127.0.0.1 -p udp -j ACCEPT -A INPUT -s 10.8.0.0/24 -p tcp -j ACCEPT -A INPUT -s 10.8.0.0/24 -p udp -j ACCEPT -A INPUT -s XXX.XXX.XXX.XXX -p tcp -j ACCEPT -A INPUT -s XXX.XXX.XXX.XXX -p udp -j ACCEPT -A INPUT -i tun0 -p tcp -j ACCEPT -A INPUT -i tun0 -p udp -j ACCEPT |
Das XXX.XXX.XXX.XXX steht für die externe IP des Servers.
Dies hat leider nicht funktioniert.
Hat einer eine Idee, wie man das 2. Ziel erreichen kann?
Gruß und vielen Dank
Hier noch der Relevante Teil der ipables
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 | # Netzwerkweiterleitung für vpn *nat :PREROUTING ACCEPT [831:53307] :POSTROUTING ACCEPT [166:9960] :OUTPUT ACCEPT [172:10391] -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source XXX.XXX.XXX.XXX -A POSTROUTING -s 10.0.0.0/8 -o venet0 -j MASQUERADE -A POSTROUTING -o venet0 -j MASQUERADE COMMIT *filter :INPUT DROP :FORWARD ACCEPT :OUTPUT ACCEPT # Bereits erlaubte Verbindungen zulassen -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Alle lokalen Verbindungen zulassen -A INPUT -s 127.0.0.1 -p tcp -j ACCEPT -A INPUT -s 127.0.0.1 -p udp -j ACCEPT -A INPUT -s 10.8.0.0/24 -p tcp -j ACCEPT -A INPUT -s 10.8.0.0/24 -p udp -j ACCEPT -A INPUT -s XXX.XXX.XXX.XXX -p tcp -j ACCEPT -A INPUT -s XXX.XXX.XXX.XXX -p udp -j ACCEPT -A INPUT -i tun0 -p tcp -j ACCEPT -A INPUT -i tun0 -p udp -j ACCEPT # VPN -A INPUT -p udp -m udp --dport 1194 -m limit --limit 5/m -m state --state NEW -j ACCEPT # FTP -A INPUT -i tun0 -p tcp --syn --dports 21 -j ACCEPT -A INPUT -s XXX.XXX.XXX.XXX -p tcp --dports 21 -j ACCEPT -A INPUT -s 10.8.0.0/24 -p tcp --dports 21 -j ACCEPT -A INPUT -s 127.0.0.1 -p tcp --dports 21 -j ACCEPT # REJECT Others -A INPUT -j REJECT COMMIT Code |