6
Am OpenVPN eine IP-Adresse mit einem bestimmten Port sperren
Servus zusammen,
habe eine Verständnisfrage: ich möchte am OpenVPN eine IP-Adresse aus dem internen Netz mit einem bestimmten Port ein- und ausgehend sperren. Der entsprechende Rechner hat als GW den OpenVPN mit seiner internen IP.
Gehe ich richtig in der Annahme, das folgende Regeln mir weiterhelfen?
Danke schonmal....
Viele Grüße,
Peter
habe eine Verständnisfrage: ich möchte am OpenVPN eine IP-Adresse aus dem internen Netz mit einem bestimmten Port ein- und ausgehend sperren. Der entsprechende Rechner hat als GW den OpenVPN mit seiner internen IP.
Gehe ich richtig in der Annahme, das folgende Regeln mir weiterhelfen?
#ausgehende Verbindung sperren
iptables -I INPUT -p tcp --dport 80 -s 192.168.0.31 -j DROP
#eingehende Verbindung sperren
iptables -I INPUT -p tcp --dport 80 -d 192.168.0.31 -j DROPDanke schonmal....
Viele Grüße,
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365055
Url: https://administrator.de/contentid/365055
Ausgedruckt am: 08.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Nope, falsche Chain erwischt. Die INPUT Chain filtert nur das was an den OpenVPN Server direkt gerichtet ist, nicht die Pakete die es "Forwarded", dafür ist die FORWARD chain da.
Reicht.
Gruß Snap
iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROPGruß Snap
Zitat von @135333:
Nope, falsche Chain erwischt. Die INPUT Chain filtert nur das was an den OpenVPN Server direkt gerichtet ist, nicht die Pakete die es "Forwarded", dafür ist die FORWARD chain da.
Reicht.
Gruß Snap
Nope, falsche Chain erwischt. Die INPUT Chain filtert nur das was an den OpenVPN Server direkt gerichtet ist, nicht die Pakete die es "Forwarded", dafür ist die FORWARD chain da.
> iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROP
> Gruß Snap
Danke für Deine Antwort, aber diese Chain sorgt wohl nur dafür, das nix an 192.168.0.31 über http geschickt wird,... ich möchte aber auch, das von dieser IP via http nix raus geht über den openvpn.
Gruß Peter
Ich denke, das dies okay sein sollt:
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 192.168.0.31 0.0.0.0/0 tcp dpt:8080
2 DROP tcp -- 0.0.0.0/0 192.168.0.31 tcp dpt:8080
3 DROP tcp -- 192.168.0.31 0.0.0.0/0 tcp dpt:8888
4 DROP tcp -- 0.0.0.0/0 192.168.0.31 tcp dpt:8888
5 DROP tcp -- 192.168.0.31 0.0.0.0/0 tcp dpt:443
6 DROP tcp -- 0.0.0.0/0 192.168.0.31 tcp dpt:443
7 DROP tcp -- 192.168.0.31 0.0.0.0/0 tcp dpt:80
8 DROP tcp -- 0.0.0.0/0 192.168.0.31 tcp dpt:80
9 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableZitat von @DaPedda:
Wenn du "related traffic" Regeln implementiert hast dann musst du die Ausgehenden auch sperren, richtig, aber die hast du laut deinem Post offensichtlich nicht.Zitat von @135333:
Danke für Deine Antwort, aber diese Chain sorgt wohl nur dafür, das nix an 192.168.0.31 über http geschickt wird,... ich möchte aber auch, das von dieser IP via http nix raus geht über den openvpn.Es würde sowieso keine Kommunikation stattfinden wenn zurückkommende Pakete sowieso verworfen werden, denn http ist TCP basierend und wie man weiß eine bidirektionale Kommunikation. Es würden zwar Pakete den Rechner verlassen aber er würde darauf keine Antworten erhalten da sie an der FW hängen bleiben.
Zitat von @135333:
Es würde sowieso keine Kommunikation stattfinden wenn zurückkommende Pakete sowieso verworfen werden, denn http ist TCP basierend und wie man weiß eine bidirektionale Kommunikation. Es würden zwar Pakete den Rechner verlassen aber er würde darauf keine Antworten erhalten da sie an der FW hängen bleiben.
Zitat von @DaPedda:
Wenn du "related traffic" Regeln implementiert hast dann musst du die Ausgehenden auch sperren, richtig, aber die hast du laut deinem Post offensichtlich nicht.Zitat von @135333:
Danke für Deine Antwort, aber diese Chain sorgt wohl nur dafür, das nix an 192.168.0.31 über http geschickt wird,... ich möchte aber auch, das von dieser IP via http nix raus geht über den openvpn.Es würde sowieso keine Kommunikation stattfinden wenn zurückkommende Pakete sowieso verworfen werden, denn http ist TCP basierend und wie man weiß eine bidirektionale Kommunikation. Es würden zwar Pakete den Rechner verlassen aber er würde darauf keine Antworten erhalten da sie an der FW hängen bleiben.
Laut meinem Post habe ich gefragt, ob ich mit den von mir zurecht gelegten Regeln richtig liege. Da war nirgendwo eine Andeutung, das ich diese Regeln implementiert habe! Das http eine bidirektionale Verbindung ist, ist mir auch bewusst. Mein Anliegen war, das ich das von vorneherein via OpenVPN unterbinde. Nicht mehr und nicht weniger.
Dein Hinweis auf die Forward Chain war hilfreich, aber die Art und Weise Deines letzten Post's find ich gar nicht okay!
Gruß Peter
aber die Art und Weise Deines letzten Post's find ich gar nicht okay!
??? Was ist jetzt los, ich habe dir eindeutig geantwortet wenn du die Firewall Chains nicht verstehst ist das ja nicht mein Problem.Hiermit geht von dem Rechner nix über Port 80 rein oder raus
iptables -I FORWARD -p tcp --dport 80 -d 192.168.0.31 -j DROP
iptables -I FORWARD -p tcp --sport 80 -s 192.168.0.31 -j DROPDu sollst es ja auch verstehen nicht nur dumm abtippen, deshalb meine Erläuterung!!
