dapedda
Goto Top

Am OpenVPN eine IP-Adresse mit einem bestimmten Port sperren

Servus zusammen,

habe eine Verständnisfrage: ich möchte am OpenVPN eine IP-Adresse aus dem internen Netz mit einem bestimmten Port ein- und ausgehend sperren. Der entsprechende Rechner hat als GW den OpenVPN mit seiner internen IP.

Gehe ich richtig in der Annahme, das folgende Regeln mir weiterhelfen?

#ausgehende Verbindung sperren
iptables -I INPUT -p tcp --dport 80 -s 192.168.0.31 -j DROP

#eingehende Verbindung sperren
iptables -I INPUT -p tcp --dport 80 -d 192.168.0.31 -j DROP

Danke schonmal....


Viele Grüße,

Peter

Content-ID: 365055

Url: https://administrator.de/contentid/365055

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

135333
135333 16.02.2018 aktualisiert um 21:38:53 Uhr
Goto Top
Nope, falsche Chain erwischt. Die INPUT Chain filtert nur das was an den OpenVPN Server direkt gerichtet ist, nicht die Pakete die es "Forwarded", dafür ist die FORWARD chain da.
iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROP
Reicht.

Gruß Snap
DaPedda
DaPedda 16.02.2018 aktualisiert um 21:45:22 Uhr
Goto Top
Zitat von @135333:

Nope, falsche Chain erwischt. Die INPUT Chain filtert nur das was an den OpenVPN Server direkt gerichtet ist, nicht die Pakete die es "Forwarded", dafür ist die FORWARD chain da.
> iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROP
> 
Reicht.

Gruß Snap

Danke für Deine Antwort, aber diese Chain sorgt wohl nur dafür, das nix an 192.168.0.31 über http geschickt wird,... ich möchte aber auch, das von dieser IP via http nix raus geht über den openvpn.

Gruß Peter
DaPedda
DaPedda 16.02.2018 um 22:17:19 Uhr
Goto Top
Ich denke, das dies okay sein sollt:

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  192.168.0.31         0.0.0.0/0           tcp dpt:8080
2    DROP       tcp  --  0.0.0.0/0            192.168.0.31        tcp dpt:8080
3    DROP       tcp  --  192.168.0.31         0.0.0.0/0           tcp dpt:8888
4    DROP       tcp  --  0.0.0.0/0            192.168.0.31        tcp dpt:8888
5    DROP       tcp  --  192.168.0.31         0.0.0.0/0           tcp dpt:443
6    DROP       tcp  --  0.0.0.0/0            192.168.0.31        tcp dpt:443
7    DROP       tcp  --  192.168.0.31         0.0.0.0/0           tcp dpt:80
8    DROP       tcp  --  0.0.0.0/0            192.168.0.31        tcp dpt:80
9    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
10   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
135333
135333 16.02.2018 aktualisiert um 23:24:22 Uhr
Goto Top
Zitat von @DaPedda:

Zitat von @135333:
Danke für Deine Antwort, aber diese Chain sorgt wohl nur dafür, das nix an 192.168.0.31 über http geschickt wird,... ich möchte aber auch, das von dieser IP via http nix raus geht über den openvpn.
Wenn du "related traffic" Regeln implementiert hast dann musst du die Ausgehenden auch sperren, richtig, aber die hast du laut deinem Post offensichtlich nicht.

Es würde sowieso keine Kommunikation stattfinden wenn zurückkommende Pakete sowieso verworfen werden, denn http ist TCP basierend und wie man weiß eine bidirektionale Kommunikation. Es würden zwar Pakete den Rechner verlassen aber er würde darauf keine Antworten erhalten da sie an der FW hängen bleiben.
DaPedda
DaPedda 17.02.2018 um 23:01:07 Uhr
Goto Top
Zitat von @135333:

Zitat von @DaPedda:

Zitat von @135333:
Danke für Deine Antwort, aber diese Chain sorgt wohl nur dafür, das nix an 192.168.0.31 über http geschickt wird,... ich möchte aber auch, das von dieser IP via http nix raus geht über den openvpn.
Wenn du "related traffic" Regeln implementiert hast dann musst du die Ausgehenden auch sperren, richtig, aber die hast du laut deinem Post offensichtlich nicht.

Es würde sowieso keine Kommunikation stattfinden wenn zurückkommende Pakete sowieso verworfen werden, denn http ist TCP basierend und wie man weiß eine bidirektionale Kommunikation. Es würden zwar Pakete den Rechner verlassen aber er würde darauf keine Antworten erhalten da sie an der FW hängen bleiben.

Laut meinem Post habe ich gefragt, ob ich mit den von mir zurecht gelegten Regeln richtig liege. Da war nirgendwo eine Andeutung, das ich diese Regeln implementiert habe! Das http eine bidirektionale Verbindung ist, ist mir auch bewusst. Mein Anliegen war, das ich das von vorneherein via OpenVPN unterbinde. Nicht mehr und nicht weniger.

Dein Hinweis auf die Forward Chain war hilfreich, aber die Art und Weise Deines letzten Post's find ich gar nicht okay!

Gruß Peter
135333
135333 18.02.2018 aktualisiert um 12:39:31 Uhr
Goto Top
aber die Art und Weise Deines letzten Post's find ich gar nicht okay!
??? Was ist jetzt los, ich habe dir eindeutig geantwortet wenn du die Firewall Chains nicht verstehst ist das ja nicht mein Problem.

Hiermit geht von dem Rechner nix über Port 80 rein oder raus
iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROP
iptables -I FORWARD -p tcp --sport 80 -s 192.168.0.31 -j DROP

Du sollst es ja auch verstehen nicht nur dumm abtippen, deshalb meine Erläuterung!!