Am OpenVPN eine IP-Adresse mit einem bestimmten Port sperren
Servus zusammen,
habe eine Verständnisfrage: ich möchte am OpenVPN eine IP-Adresse aus dem internen Netz mit einem bestimmten Port ein- und ausgehend sperren. Der entsprechende Rechner hat als GW den OpenVPN mit seiner internen IP.
Gehe ich richtig in der Annahme, das folgende Regeln mir weiterhelfen?
Danke schonmal....
Viele Grüße,
Peter
habe eine Verständnisfrage: ich möchte am OpenVPN eine IP-Adresse aus dem internen Netz mit einem bestimmten Port ein- und ausgehend sperren. Der entsprechende Rechner hat als GW den OpenVPN mit seiner internen IP.
Gehe ich richtig in der Annahme, das folgende Regeln mir weiterhelfen?
#ausgehende Verbindung sperren
iptables -I INPUT -p tcp --dport 80 -s 192.168.0.31 -j DROP
#eingehende Verbindung sperren
iptables -I INPUT -p tcp --dport 80 -d 192.168.0.31 -j DROP
Danke schonmal....
Viele Grüße,
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365055
Url: https://administrator.de/contentid/365055
Ausgedruckt am: 08.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Nope, falsche Chain erwischt. Die INPUT Chain filtert nur das was an den OpenVPN Server direkt gerichtet ist, nicht die Pakete die es "Forwarded", dafür ist die FORWARD chain da.
Reicht.
Gruß Snap
iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROP
Gruß Snap
Zitat von @DaPedda:
Wenn du "related traffic" Regeln implementiert hast dann musst du die Ausgehenden auch sperren, richtig, aber die hast du laut deinem Post offensichtlich nicht.Zitat von @135333:
Danke für Deine Antwort, aber diese Chain sorgt wohl nur dafür, das nix an 192.168.0.31 über http geschickt wird,... ich möchte aber auch, das von dieser IP via http nix raus geht über den openvpn.Es würde sowieso keine Kommunikation stattfinden wenn zurückkommende Pakete sowieso verworfen werden, denn http ist TCP basierend und wie man weiß eine bidirektionale Kommunikation. Es würden zwar Pakete den Rechner verlassen aber er würde darauf keine Antworten erhalten da sie an der FW hängen bleiben.
aber die Art und Weise Deines letzten Post's find ich gar nicht okay!
??? Was ist jetzt los, ich habe dir eindeutig geantwortet wenn du die Firewall Chains nicht verstehst ist das ja nicht mein Problem.Hiermit geht von dem Rechner nix über Port 80 rein oder raus
iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROP
iptables -I FORWARD -p tcp --sport 80 -s 192.168.0.31 -j DROP
Du sollst es ja auch verstehen nicht nur dumm abtippen, deshalb meine Erläuterung!!