Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Accesso da VPN

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
eureka



Registrato: 18/11/06 16:40
Messaggi: 20

MessaggioInviato: Mar Dic 01, 2009 9:40 am    Oggetto: Accesso da VPN Rispondi citando

Salve, ho un problema che non riesco a risolvere.
Sul mio box ZS, ho attivato un accesso tramite OpenVPN in modalità Host to Lan con il quale accedo tranquillamente a tutti i servizi posizionati sull'interfaccia ETH00 (ZS, webserver, gestionale).
A questo punto, mi chiedevo se era possibile attivare lo stesso tipo di accesso anche su un'intefaccia diversa (ETH04 nel mio caso), in cui sono posizionati due AP + due radio PtP.
Grazie.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Ven Dic 04, 2009 9:39 am    Oggetto: Rispondi citando

Spiega più dettagliatamente cosa ti occorre.
Probabilmente bastano 2 regole di firewall
Top
Profilo Invia messaggio privato
eureka



Registrato: 18/11/06 16:40
Messaggi: 20

MessaggioInviato: Ven Dic 04, 2009 4:31 pm    Oggetto: Accesso da VPN Rispondi citando

Salve, innanzi tutto grazie per aver risposto. Passo subito al problema.
Come avevo scritto nel precedente post, effettuo regolarmente l'accesso dall'esterno tramite OpenVPN in modalità Host to Lan ad alcuni servizi posizionati sulla rete LAN (ETH00), ho difficoltà invece a configurare lo stesso accesso per avere disponibili anche i servizi che stanno su un'altra interfaccia (ETH04). Probabilmente (e ne sono fermamente convinto anch'io) è un problema di qualche regola da posizionare sul firewall, ma nonostante abbia effettuato numerose prove, non riesco a venirne a capo. Hai qualche suggerimento?
Grazie.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Ven Dic 04, 2009 4:43 pm    Oggetto: Rispondi citando

posta il risultato del comando:

iptables-save
Top
Profilo Invia messaggio privato
eureka



Registrato: 18/11/06 16:40
Messaggi: 20

MessaggioInviato: Ven Dic 04, 2009 5:23 pm    Oggetto: Accesso da VPN Rispondi citando

Salve, ecco ciò che viene fuori con il comando iptables-save che mi hai indicato.

:CapPortHTTP - [0:0]
:CapPortHTTPS - [0:0]
:CapPortProxy - [0:0]
:OpenVPN - [0:0]
:SNATVS - [0:0]
-A PREROUTING -j CapPort
-A PREROUTING -i ETH01 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.30:22
-A PREROUTING -i ETH01 -p tcp -m tcp --dport 10001 -j DNAT --to-destination 192.168.0.30:10000
-A PREROUTING -i ETH02 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.30:22
-A PREROUTING -i ETH01 -p tcp -m tcp --dport 91 -j DNAT --to-destination 192.168.171.1:80
-A PREROUTING -i ETH01 -p tcp -m tcp --dport 92 -j DNAT --to-destination 192.168.172.1:80
-A PREROUTING -i ETH01 -p tcp -m tcp --dport 4443 -j DNAT --to-destination 192.168.0.1:443
-A PREROUTING -i ETH01 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.12:443
-A POSTROUTING -j SNATVS
-A POSTROUTING -o ETH01 -j MASQUERADE
-A POSTROUTING -o ETH02 -j MASQUERADE
-A POSTROUTING -o ETH03 -j MASQUERADE
-A POSTROUTING -o ETH05 -j MASQUERADE
-A POSTROUTING -j OpenVPN
-A CapPort -i ETH04 -p tcp -m tcp --dport 80 -j CapPortHTTP
-A CapPort -i ETH04 -p tcp -m tcp --dport 443 -j CapPortHTTPS
-A CapPort -i ETH04 -p tcp -m tcp --dport 12080 -j CapPortGW
-A CapPort -i ETH04 -p tcp -m tcp --dport 12081 -j CapPortGW
-A CapPortGW -s 192.168.1.22/32 -m mac --mac-source 00:04:75:DC:4A:C2 -j ACCEPT
-A CapPortGW -p tcp -j REDIRECT
-A CapPortHTTP -s 192.168.1.82/32 -m mac --mac-source 00:80:48:4A:AB:33 -j CapPortProxy
-A CapPortHTTP -s 192.168.1.90/32 -m mac --mac-source 00:15:6D:B5:25:71 -j CapPortProxy
-A CapPortHTTP -s 192.168.1.49/32 -m mac --mac-source 00:80:48:4A:AC:2E -j CapPortProxy
-A CapPortHTTP -s 192.168.1.125/32 -m mac --mac-source 00:80:48:4A:AC:1D -j CapPortProxy
-A CapPortHTTP -s 192.168.1.74/32 -m mac --mac-source 00:80:48:4A:AC:25 -j CapPortProxy
-A CapPortHTTP -s 192.168.1.96/32 -m mac --mac-source 00:15:6D:B6:3C:91 -j CapPortProxy
-A CapPortHTTP -s 192.168.2.23/32 -m mac --mac-source 00:15:E9:EF:FC:15 -j CapPortProxy
-A CapPortHTTP -s 192.168.1.91/32 -m mac --mac-source 00:15:6D:B5:25:69 -j CapPortProxy
-A CapPortHTTP -s 192.168.1.71/32 -m mac --mac-source 00:80:48:4A:AC:1F -j CapPortProxy
-A CapPortHTTP -s 192.168.1.22/32 -m mac --mac-source 00:04:75:DC:4A:C2 -j CapPortProxy
-A CapPortHTTP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit 10/min --hashlimit-burst 15 --hashlimit-mode srcip,dstport --hashlimit-name CP_Redirect -j REDIRECT --to-ports 12080
-A CapPortHTTP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A CapPortHTTP -p tcp -j REDIRECT --to-ports 12080
-A CapPortHTTPS -s 192.168.1.82/32 -m mac --mac-source 00:80:48:4A:AB:33 -j ACCEPT
-A CapPortHTTPS -s 192.168.1.90/32 -m mac --mac-source 00:15:6D:B5:25:71 -j ACCEPT
-A CapPortHTTPS -s 192.168.1.49/32 -m mac --mac-source 00:80:48:4A:AC:2E -j ACCEPT
-A CapPortHTTPS -s 192.168.1.125/32 -m mac --mac-source 00:80:48:4A:AC:1D -j ACCEPT
-A CapPortHTTPS -s 192.168.1.74/32 -m mac --mac-source 00:80:48:4A:AC:25 -j ACCEPT
-A CapPortHTTPS -s 192.168.1.96/32 -m mac --mac-source 00:15:6D:B6:3C:91 -j ACCEPT
-A CapPortHTTPS -s 192.168.2.23/32 -m mac --mac-source 00:15:E9:EF:FC:15 -j ACCEPT
-A CapPortHTTPS -s 192.168.1.91/32 -m mac --mac-source 00:15:6D:B5:25:69 -j ACCEPT
-A CapPortHTTPS -s 192.168.1.71/32 -m mac --mac-source 00:80:48:4A:AC:1F -j ACCEPT
-A CapPortHTTPS -s 192.168.1.22/32 -m mac --mac-source 00:04:75:DC:4A:C2 -j ACCEPT
-A CapPortHTTPS -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit 10/min --hashlimit-burst 15 --hashlimit-mode srcip,dstport --hashlimit-name CP_Redirect -j REDIRECT --to-ports 12081
-A CapPortHTTPS -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A CapPortHTTPS -p tcp -j REDIRECT --to-ports 12081
-A CapPortProxy -j ACCEPT
-A OpenVPN -m iprange --src-range 192.168.250.100-192.168.250.101 -j MASQUERADE
-A SNATVS -m mark --mark 0xff1973 -j MASQUERADE
COMMIT
# Completed on Fri Dec 4 17:17:44 2009
# Generated by iptables-save v1.4.0 on Fri Dec 4 17:17:44 2009
*mangle
:PREROUTING ACCEPT [4141410:298077273]
:INPUT ACCEPT [1419699:122362518]
:FORWARD ACCEPT [97135261:64453627561]
:OUTPUT ACCEPT [9350434:1798043265]
:POSTROUTING ACCEPT [105259307:66135607562]
:NB_CT_POST - [0:0]
:NB_STAT - [0:0]
:NetBalancer - [0:0]
:OpenVPN - [0:0]
-A PREROUTING -j CONNMARK --restore-mark
-A PREROUTING -j NetBalancer
-A PREROUTING -i ppp1+ -j MARK --set-mark 0xff1973
-A INPUT -j NetBalancer
-A OUTPUT -j NetBalancer
-A OUTPUT -j OpenVPN
-A POSTROUTING -m state --state NEW -j NB_CT_POST
-A POSTROUTING -j NB_STAT
-A NB_CT_POST -m realm --realm 0x6a -j MARK --set-mark 0x6a
-A NB_CT_POST -m realm --realm 0x69 -j MARK --set-mark 0x69
-A NB_CT_POST -m realm --realm 0x68 -j MARK --set-mark 0x68
-A NB_CT_POST -j CONNMARK --save-mark
-A NB_STAT -m mark --mark 0x6a
-A NB_STAT -m mark --mark 0x69
-A NB_STAT -m mark --mark 0x68
-A NetBalancer -i ETH01 -p tcp -m tcp --dport 22 -j MARK --set-mark 0x68
-A NetBalancer -m mark ! --mark 0x0 -j ACCEPT
-A NetBalancer -i ETH02 -p tcp -m tcp --dport 22 -j MARK --set-mark 0x69
-A NetBalancer -m mark ! --mark 0x0 -j ACCEPT
-A NetBalancer -m layer7 --l7proto bittorrent -j MARK --set-mark 0x6a
-A NetBalancer -m mark ! --mark 0x0 -j ACCEPT
COMMIT
# Completed on Fri Dec 4 17:17:44 2009
# Generated by iptables-save v1.4.0 on Fri Dec 4 17:17:44 2009
*filter
:INPUT ACCEPT [3562:326259]
:FORWARD ACCEPT [32794398:26987126565]
:OUTPUT ACCEPT [2511167:496176447]
:CapPort - [0:0]
:CapPortACL - [0:0]
:CapPortFC - [0:0]
:CapPortFS - [0:0]
:CapPortWL - [0:0]
:NetBalancer - [0:0]
:SYS_HTTPS - [0:0]
:SYS_INPUT - [0:0]
:SYS_OUTPUT - [0:0]
:SYS_SSH - [0:0]
-A INPUT -j SYS_INPUT
-A INPUT -p tcp -m tcp --dport 80 -j SYS_HTTPS
-A INPUT -p tcp -m tcp --dport 443 -j SYS_HTTPS
-A INPUT -p tcp -m tcp --dport 22 -j SYS_SSH
-A FORWARD -m time --timestart 07:00:00 --timestop 00:00:00 -m layer7 --l7proto ares -j DROP
-A FORWARD -m time --timestart 07:00:00 --timestop 00:00:00 -m layer7 --l7proto bittorrent -j DROP
-A FORWARD -m time --timestart 07:00:00 --timestop 00:00:00 -m layer7 --l7proto edonkey -j DROP
-A FORWARD -m time --timestart 07:00:00 --timestop 00:00:00 -m layer7 --l7proto fasttrack -j DROP
-A FORWARD -m time --timestart 07:00:00 --timestop 00:00:00 -m layer7 --l7proto gnutella -j DROP
-A FORWARD -d 192.168.1.50/32 -p udp -m mac --mac-source 00:15:6D:C0:F1:60 -m time --timestart 06:00:00 --timestop 00:00:00 -m udp --dport 1031:65534 -m connbytes --connbytes 2048:4294967295 --connbytes-mode bytes --connbytes-dir both -j ACCEPT
-A FORWARD -d 192.168.1.50/32 -p tcp -m mac --mac-source 00:15:6D:C0:F1:60 -m time --timestart 06:00:00 --timestop 00:00:00 -m tcp --dport 12082:65534 -m connbytes --connbytes 1024:4294967295 --connbytes-mode bytes --connbytes-dir both -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 12080:12081 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 49152:49157 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1863 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6891:6900 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6901 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 14300 -j ACCEPT
-A FORWARD -p udp -m udp --dport 6901 -j ACCEPT
-A FORWARD -p udp -m udp --dport 12352 -j ACCEPT
-A FORWARD -p udp -m udp --dport 7790 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 7001 -j ACCEPT
-A FORWARD -p udp -m udp --dport 7001 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 5004 -j ACCEPT
-A FORWARD -p udp -m udp --dport 5004 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1503 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -p udp -m udp --dport 49152 -j ACCEPT
-A FORWARD -d 192.168.1.94/32 -m mac --mac-source 00:15:6D:B5:25:47 -m time --timestart 07:00:00 --timestop 00:00:00 -m connbytes ! --connbytes 2048:4294967295 --connbytes-mode bytes --connbytes-dir both -j ACCEPT
-A FORWARD -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -p udp -m udp --dport 3478 -j ACCEPT
-A FORWARD -p udp -m udp --dport 16384 -j ACCEPT
-A FORWARD -j CapPort
-A OUTPUT -j SYS_OUTPUT
-A CapPort -i ETH04 -j CapPortACL
-A CapPortACL -j CapPortFS
-A CapPortACL -j CapPortFC
-A CapPortACL -j CapPortWL
-A CapPortACL -j DROP
-A CapPortFC -s 192.168.1.22/32 -m mac --mac-source 00:04:75:DC:4A:C2 -j ACCEPT
-A CapPortFS -p udp -m udp --dport 53 -j ACCEPT
-A CapPortFS -p udp -m udp --dport 67 -j ACCEPT
-A CapPortWL -s 192.168.1.82/32 -m mac --mac-source 00:80:48:4A:AB:33 -j ACCEPT
-A CapPortWL -s 192.168.1.90/32 -m mac --mac-source 00:15:6D:B5:25:71 -j ACCEPT
-A CapPortWL -s 192.168.1.49/32 -m mac --mac-source 00:80:48:4A:AC:2E -j ACCEPT
-A CapPortWL -s 192.168.1.125/32 -m mac --mac-source 00:80:48:4A:AC:1D -j ACCEPT
-A CapPortWL -s 192.168.1.74/32 -m mac --mac-source 00:80:48:4A:AC:25 -j ACCEPT
-A CapPortWL -s 192.168.1.96/32 -m mac --mac-source 00:15:6D:B6:3C:91 -j ACCEPT
-A CapPortWL -s 192.168.2.23/32 -m mac --mac-source 00:15:E9:EF:FC:15 -j ACCEPT
-A CapPortWL -s 192.168.1.91/32 -m mac --mac-source 00:15:6D:B5:25:69 -j ACCEPT
-A CapPortWL -s 192.168.1.71/32 -m mac --mac-source 00:80:48:4A:AC:1F -j ACCEPT
-A SYS_HTTPS -i lo -j ACCEPT
-A SYS_HTTPS -i ETH00 -j ACCEPT
-A SYS_HTTPS -i VPN99 -j ACCEPT
-A SYS_HTTPS -j DROP
-A SYS_INPUT -i lo -j ACCEPT
-A SYS_INPUT -i ETH04 -p tcp -m tcp --dport 12080:12083 -j ACCEPT
-A SYS_INPUT -p tcp -m tcp --dport 12080:12083 -j DROP
-A SYS_INPUT -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-A SYS_INPUT -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A SYS_INPUT -p tcp -m tcp --sport 8245 -m state --state ESTABLISHED -j ACCEPT
-A SYS_INPUT -p udp -m udp --sport 123 -m state --state ESTABLISHED -j ACCEPT
-A SYS_INPUT -j RETURN
-A SYS_OUTPUT -o lo -j ACCEPT
-A SYS_OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A SYS_OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A SYS_OUTPUT -p tcp -m tcp --dport 8245 -j ACCEPT
-A SYS_OUTPUT -p udp -m udp --dport 123 -j ACCEPT
-A SYS_OUTPUT -j RETURN
-A SYS_SSH -i lo -j ACCEPT
-A SYS_SSH -s 192.168.0.0/24 -i ETH00 -j ACCEPT
-A SYS_SSH -j DROP
COMMIT
# Completed on Fri Dec 4 17:17:44 2009

Grazie ancora.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it