Ru-Board.club
← Вернуться в раздел «UNIX»

» freebsd ipfw + openvpn

Автор: Gugmen
Дата сообщения: 21.01.2010 12:09
ipfw="/sbin/ipfw -q"
officenet="192.168.0.0/24"
officeprefix="192.168.0"
iif="xl0"
oif="vr0"
echo "Enabling firewall.."

${ipfw} -f flush

###### Localhost
#
${ipfw} add 00127 allow ip from any to any via lo0
${ipfw} add 00128 deny ip from any to 127.0.0.0/8
${ipfw} add 00129 deny ip from 127.0.0.0/8 to any
#
######

######
#
# SSH
${ipfw} add 00220 allow tcp from any to any 22 in via ${oif}
# SMTP
${ipfw} add 00230 allow tcp from any to any 25 in via ${oif}
# HTTP
${ipfw} add 00250 allow tcp from any to any 80 in via ${oif}
# DNS
${ipfw} add 00260 allow tcp from any to any 53 in via ${oif}
${ipfw} add 00261 allow udp from any to any 53 in via ${iif}
# FTP
${ipfw} add 00262 allow tcp from any to any 21 in via ${oif}
${ipfw} add 00263 allow tcp from any to any 20 in via ${oif}
${ipfw} add 00264 allow tcp from any 21 to any via ${oif}
#
######

###### NATD stuff
#
${ipfw} add 00300 divert natd all from any to any via ${oif}
#
######

###### Network connection's stuff
#
${ipfw} add 00410 check-state
${ipfw} add 00421 allow all from me to any via ${iif} keep-state
${ipfw} add 00422 allow all from me to any via ${oif} keep-state
${ipfw} add 00423 allow all from any to me via ${oif} keep-state

${ipfw} add 00427 allow all from 192.168.0.5 to any via ${iif} keep-state
${ipfw} add 00428 allow all from 192.168.0.5 to any via ${oif} keep-state
${ipfw} add 00429 allow all from 192.168.0.6 to any via ${iif} keep-state
${ipfw} add 00430 allow all from 192.168.0.6 to any via ${oif} keep-state
${ipfw} add 00432 allow all from any to any 21,22,25,53,80,110,3128,5000
${ipfw} add 00450 allow all from any to any via ${oif} keep-state
#
######

###### ICMP stuff
#
${ipfw} add 00510 allow icmp from any to any icmptypes 8
${ipfw} add 00511 allow icmp from any to any icmptypes 0
#
######

Гуру БСД подскажите пожалуйста, что нужно добавить в моем конфиге фаерволла? Подключаюсь по опенвп , сеть внутренняя пингуеться, а вот по сети на компы попасть не могу.


Автор: kerberosV5
Дата сообщения: 22.01.2010 20:13
Сразу признаюсь, я не гуру, тем более BSD.
Мне кажется, Вы как раз разрешили только пинги во все стороны (правила 510,511), а про трафик openvpn я правил не нашел. На моем линуксе openvpn создает интерфейс tun0, соответственно я разрешаю весь трафик на этом интерйесе. Попробуйте покопать в этом направлении
Автор: Gugmen
Дата сообщения: 22.01.2010 20:54
добавил вот такое правило к вышеуказанному конфигу :

vpn="tun0"

###### VPN
#
${ipfw} add 00200 allow ip from any to any via ${vpn}
#
######

по рдп так и не смог ходить по сети
Автор: AnDySs1
Дата сообщения: 22.01.2010 21:10
Gugmen
если не ошибаюсь, то
${ipfw} xxxxx add udp from any to any 1194
${ipfw} xxxxx+1 add allow ip from any to any via ${vpn}
Автор: kerberosV5
Дата сообщения: 22.01.2010 21:26

Цитата:
${ipfw} add 00422 allow all from me to any via ${oif} keep-state
${ipfw} add 00423 allow all from any to me via ${oif} keep-state

По-моему этого вполне достаточно. Разве что теперь номер правила
Цитата:
add allow ip from any to any via ${vpn}
поменять?
Автор: Gugmen
Дата сообщения: 24.01.2010 18:18
kerberosV5
не понял , что поменять?
Автор: Gugmen
Дата сообщения: 25.01.2010 06:29
разобрался ,спасибо откликнувшимся.
Автор: Gugmen
Дата сообщения: 10.03.2010 20:14
через некоторое время после настройки появилась необходимость в дополнительных сертификатах.
а создать их не получаеться..
сервер настраивал по это статье : http://linuxopen.ru/2007/12/16/nastrojjka-vpn-na-primere-openvpn.html

хелп, очень надо!!! кто сталкивался откликнитесь!
Автор: tankistua
Дата сообщения: 10.03.2010 20:56
почему не получается ?

давай рассуждать логически на основании официальной докуменатции, а не каких-то сайтов:


http://openvpn.net/index.php/open-source/documentation/howto.html

Сначала создается корневой сертификат:
. ./vars
./clean-all
./build-ca

Потом сертификат сервера:
./build-key-server server

Потом сертификаты клиентов:
./build-key client1
./build-key client2
./build-key client3

Потом DH
./build-dh


Последний ключ нужен только серверу. Т.е. получается, что если по каким-то причинам не работают добавленные сертификаты, но надо просто перегенерить
./build-dh
и обновить его на сервере.

З.Ы. и то - это предположение, что нужно обновить dh-ключ ибо в ssl-е не силен, а разбираться лень. Если это не поможет значит дело не в сертификатах.
Автор: Gugmen
Дата сообщения: 10.03.2010 21:47
выдаёт

# ./build-key client3
./build-key: not found
Автор: tankistua
Дата сообщения: 11.03.2010 00:33
иди читай книжки.

совсем не понимаю как ты умудрился настроить впн.

Страницы: 1

Предыдущая тема: Подскажите удобный Linux LiveCD для общения в Интернете


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.