Blokování portů ve VPN kromě jednoho

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #15 kdy: 09. 04. 2018, 21:47:33 »
V LAN mam 1x linuxovy server (IP 192.168.1.3). Na tom servery je nainstalovany openvpn server (IP 10.8.0.1, siet 10.8.0.0/24).
Dalej su na servery nejake sluzby, ktore pocuvaju na roznych portoch (napr. webmin 10000, ftp 21 a pod ....).
Nechcem to tu rozpisovat co vsetko tam bezi, lebo je toho viac (ide len o princip).
Ked som v LAN, tak sa na tie sluzby dostanem normalnym  sposobom, napr na webmin https://192.168.1.3:10000, alebo na ftp, ftp://192.168.1.3 (samozrejme pre pristup na ftp, alebo webmin je potrebne vediet heslo).
Ako sa pytal Palo, ci openvpn pouzivam v LAN sieti .... NIE, openvpn klienti su mimo LAN (na VPN server sa pripoja cez moju verejnu IPv4 a v routery mam forward na linux server).
Openvpn klient sa na openvpn server prihlasi (tam nie je ziadny problem). Zo zaciatku som nepouzival UFW a klient ak zadal 10.8.0.1:10000 tak sa teoreticky mohol dostat na webmin (samozrejme heslo nevie, tak sa tam nedostal).
Tak som zacal vytvarat v UFW pravidla a pre webmin som spravil
Kód: [Vybrat]
10000                      DENY IN     10.8.0.0/24
10000/tcp                  ALLOW IN    Anywhere
Siet 10.8.0.0/24 ma zakazany port 10000 a ostatny ho maju povoleny.
Samozrejme predtym som este nastavil aby  mala IP 10.8.0.155 (ja) vsetko povolene
Kód: [Vybrat]
Anywhere                   ALLOW IN    10.8.0.155Funguje to takto, ze z IP 10.8.0.155 sa viem dostat na serverove sluzby napr. na webmin 10.8.0.1:10000, alebo aj ftp (ostatny klienti sa tam nevedia dostat a aspon toto je OK).
Ja (10.8.0.155) sa vsak potrebujem dostat aj na klientske stroje (pozri obr. vyssie) na ktorych bezi napr. web, ftp, ssh .... (potrebujem ich spravovat). Problem je v tom, ze klienti sa navzajom vidia. Cize ak nejaky klient napr 10.8.0.152 zada do brovsera 10.8.0.153, tak sa dostane na web toho klienta a toto ja nechcem.
Ako som napisal vyssie, riesim to zatial cez client-to-client, ale to je dost neprakticke.

Neviem ci som to napisal dost pochopitelne, ale snad ano.
Otazka je,  ci by sa to dlo vyriesit firewallom, alebo naseptavac spominal nejaky proxy (to neviem ako by fungovalo).
Myslim, ze vo firewalle bude treba pouzit asi aj forward, ale zatail neviem ako na to.


Palo M.

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #16 kdy: 13. 04. 2018, 06:33:36 »
Ako som pisal uz predtym, pristup z jedneho klienta na druheho musis riesit v chaine forward. Chain input je len na to, co vchadza do servera samotneho (a uz tam zostane, nie je posielane dalej, teda sluzby beziace na server).

Ma to ale aj dalsiu rovinu: Ako chces zabranit tomu, aby klient1 nepristupoval na klienta2 mimo VPN? Ked su obidva na verejnom internete a pouzivaju OpenVPN na pristup na ten server, stale je mozne, ze budu na seba postupovat cez internet.

V drvivej vacsine pripadov je preto vhodnejsie, ked je firewall na kazdom zo strojov, ktory chces chranit. Teda na VPN server das firewall, ktory chrani len server samotny (a neriesi ochranu VPN klientov medzi sebou). A kazdy z VPN klientov ma svoj vlastny firewall, ktory chrani sluzby na tom jednom klientovi.
Odporucam ti vydat sa touto cestou, na to nepotrebujes ani spekulovat nad pravidlami pre forward (ktore, ako si napisal, nevies ako vytvorit), ale kazdy zo strojov nastavis "standardnym" firewallom (napriklad ten UFW na kazdom stroji, ktory v zaklade pouzit uz vies).

naseptavac

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #17 kdy: 13. 04. 2018, 12:13:46 »
Ako som pisal uz predtym, data mezi klienty OpenVPN netecou chainem FORWARD :) A skrz iptables prochazi uz v zasifrovane podobe.

Palo M.

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #18 kdy: 17. 04. 2018, 04:28:14 »
Fakt by si mal riesit v prvom rade, ako ochranit tych klientov pred lubovolnymi pristupmi z netu, a az potom sa zaoberat tym, ci na seba maju alebo nemaju vidiet v ramci VPN. To chces mat na tych klientoch ftp servery ktore budu fasa zabezpecene pred pristupmi v ramci VPN, ale zaroven otvorene do internetu? To asi nie, ze?

Ak su vsetci vpn-klienti na jednom VPN a je povolene client-to-client, tak je to naozaj ako napisal naseptavac a data medzi nimi idu len v ramci openvpn (nedaju sa filtrovat cez iptables). Ako som pochopil, ty ale nepotrebujes pristup odvsadial vsade, ale len z jedneho stroja na vsetky ostatne. To sa da zariadit viacerymi sposobmi, napriklad aj tak, ze si spravis 2 VPN siete, jednu "beznu" a jednu "manazment" a povolis pristup z manazmentu do beznej (medzi tun0 a tun1, to uz cez iptables pojde). Alebo cez ten proxy, ci ssh tunel na serveri. Je viacero moznosti (a zalezi aj na tom, ci chces ist len na par specifickych sluzieb ako http/ftp, kde je asi jednoduchsi ten proxy, alebo chces viac univerzalny pristup a chces to robit cez sietovanie).

Ale naozaj by si toto mal riesit az uplne nakoniec, az budes mat rozumne spojazdnene firewally na tych klientoch (a s vysokou pravdepodobnostou pritom zistis, se nakoniec nemusis riesit nic navyse a pojdes tam napriamo, ked to vzdy osetris univerzalne na cielovom firewalle).

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #19 kdy: 17. 04. 2018, 15:20:14 »
Klienti z netu nie su velmi pristupny, lebo su vsetci urcite za NAT.
Teraz uvazujem ze by sa to dalo poriesit ufw, ale pristupovat na klientov by som musel priamo zo servera (nie ako klient 10.8.0.155, ale priamo z 10.8.0.1).
Problem ale vidim v tom, ze ked by som chcel pristupovat cez web prehliadac, tak to asi nepojde, lebo server je bez Xiek (na server sa prihlasujem len cez ssh).
Ale to by hadam ufw poriesit slo.


DeepSleep

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #20 kdy: 17. 04. 2018, 16:40:32 »
ssh se da pouzit pro socks5 proxy
a socks5 proxy se da nastavit v prohlizeci
uz ti to psali - zkus treba prekvapive google
je to jednoduche

https://www.systutorials.com/944/proxy-using-ssh-tunnel/

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #21 kdy: 19. 04. 2018, 20:15:10 »
principialne neviem ako to riesit cez proxy

naseptavac

Re:Blokování portů ve VPN kromě jednoho
« Odpověď #22 kdy: 19. 04. 2018, 20:42:11 »
ssh -D 127.0.0.1:8888 10.8.0.1
(pripadne pod windows nastavit u putty Connection/SSH/Tunnels Source port 8888 jako Dynamic)

a v prohlizeci nastavit socks5 server 127.0.0.1:8888