It is currently 18.10.2017 20:12


All times are UTC




Post new topic Reply to topic  [ 8 posts ] 
Author Message
 Post subject: Zugriff über OVPN benutzerabhängig einschränken
PostPosted: 25.11.2008 12:27 
DES
DES

Joined: 24.11.2008 15:51
Posts: 4
Hallo.
Hier die Beschreibung meiner Situation:

Zerina OpenVPN 0.9.7a14
BOT 3.0.0 Build 3

IPcop (Embcop):
- zwei eingerichteten net2net-Verbindungen (tun0)
- mehrere Roadwarrior-Clienten mit jeweils fest vergebener IP-Adresse (tun1)

Ich möchte den Zugriff der Clienten explizit auf nur eine lokale Netzwerkressource
mit definierten Portfreigaben einschränken. (SQL-Datenbankzugriff und Port 80, mehr nicht).

Im Forum habe ich zu diesem Thema bereits zwei Einträge gefunden.
Allerdings handelt es sich hierbei nur um Lösungsansätze, die für mich
so leider nicht nachvollziehbar sind.

viewtopic.php?p=11094

viewtopic.php?t=2228

Da, wenn ich dies richtig verstanden habe, BOT ja nur ausgehende Verbindungen
blockt, ist es mir nicht möglich eingehende IP's (via tun1) mit einfachen BOT-Regeln zu blocken.

Auch, wie in den anderen Beiträgen erwähnt, stellen wohl die in OpenVPN hardcodierten Firewall-Regeln (iptables im Quellcode) ein Problem dar.

Vielleicht hat ja schon jemand eine Möglichkeit gefunden.
Der Weg über selbst definierte IP-Tables scheint mir sehr umständlich und kompliziert.

Vielleicht über clientspezifische Scripte (client-connect, client-disconnect)?

Danke für jedwede Hilfe.

Marc


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zugriff über OVPN benutzerabhängig einschränken
PostPosted: 25.11.2008 14:36 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
in /etc/rc.d/rc.firewall.local kannst du dazuschreiben, was dir einfällt

Start + Stop ...bitte - wobei BOT bietet ein gutes Beispiel
qsl und nur Port 80 ist doch noch simpel

Andererseits ... man kann so was auch in der Datenbank (mySQL, postgresql...) machen, dass die Datenbank nicht mit jedem redet...

IPCop ist für so etwas nicht gemacht
wobei die net-2-net erlaubt dir jedem Client eine fixe (Tunnel)IP zuzuteilen...


F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zugriff über OVPN benutzerabhängig einschränken
PostPosted: 26.11.2008 07:12 
DES
DES

Joined: 24.11.2008 15:51
Posts: 4
Hallo dl5ym.
Quote:
in /etc/rc.d/rc.firewall.local kannst du dazuschreiben, was dir einfällt
Das hab ich schon versucht. Leider ohne Erfolg (vielleicht waren meine Einträge auch falsch). Es gibt die in der OpenVPN fest programmierten IPtables/Regeln (siehe die bereits beschriebenen Eintrage im Forum). Ich vermute, dass diese durchlaufen werden, bevor das Paket durch die rc.firewall und rc.firewall.local geprüft wird. Sie erscheinen aber nicht, wenn der Befehl IPTABLES -L ausgeführt wird.
Da ich nicht der Profi mit IPtables bin würde ich mich über einen Tipp freuen. Würdest du das in einer separaten Chain machen oder direkt in die Input einbinden? Welche Schnittstelle muss ich nehmen? Muss eine virtuelle tun erstellt werden? Irgendwo hab ich gelesen, dass die einzelnen RW-Clients über eine virtuelle tun geschickt werden müssen, damit die Iptables Greifen.
Es geht darum, dass die RW-Clients nur Zugriff auf bestimmte Ports haben (80, 3306). Den Clients wurden ip-Adressen zugewiesen.
Wie meinst du das:
Quote:
IPCop ist für so etwas nicht gemacht
Ich denke die Hauptfunktion einer Firewall ist die Freigabe einzuschränken, bzw. den Zugriff nur auf die notwendigen Ports erlauben.

Marc


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zugriff über OVPN benutzerabhängig einschränken
PostPosted: 26.11.2008 15:29 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
nö .. nachgesehen ... CUSTOMFORWARD ist vor OVPNFORWARD.
simpel : iptables -L
aber stimmt... wegen hardcodiert..etwas "gewöhnungsbedürftig"..
hatte aber hier geklappt..soviel weiss ich noch..
F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zugriff über OVPN benutzerabhängig einschränken
PostPosted: 02.12.2008 06:53 
DES
DES

Joined: 24.11.2008 15:51
Posts: 4
Hallo.
Sorry für die späte Antwort.
Mein Test war der, dass ich in der Chain BOT_FORWARD ein paar deny Einträge gemacht habe. Diese waren ohne Wirkung. Deshalb hab ich gedacht, dass die OpenVPN iptables mit dem Befehl iptables -L nicht angezeigt werden.
Kann es auch an dem Eintrag:
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT liegen. Damit ist ja die eingehende Verbindung erlaubt und die Blockade des ausgehenden Pakets greift somit nicht mehr.

Marc


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zugriff über OVPN benutzerabhängig einschränken
PostPosted: 02.12.2008 17:09 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Hallo

Zerina verwendet auch nur iptables Regeln um die Firewall zu umgehen, daher müssen die Regeln irgendwo angezeigt werden, wenn du iptables -nvL aufrufst.

Die Regel /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT greift bei Paketen die zu einer bestehenden Verbindung gehören. Dies hängt aber vom Protokoll ab, z.B. werden bei TCP alle Pakete gematcht, die nach dem SYN-Paket des Handshakes bis zum Verbindungsabbau übertragen werden. Eine UDP "Verbindung" besteht solange, bis der Timeout (meist 60 Sekunden) eingetreten ist, d.h. kein Paket innerhalb des Zeitfensters empfangen/gesendet wurde. Der Unterschied liegt an der Eigenschaft "stateful" vs. "stateless".
Die Regel wird daher gerne verwendet, da man somit nur noch die initialen Pakete accepten/droppen muss und sich dann nicht mehr um die folgenden kümmern muss.

Wenn du um jeden Preis willst, dass eine Verbindung verboten werden soll, füg einfach die Regel an Platz #1 in die FORWARD Chain ein:
Code:
iptables -I FORWARD -p tcp -d 192.168.1.1 -j REJECT
(verbietet alle TCP Pakete zu 192.168.1.1, informiert den Absender aber darüber.)

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject: Zugriff uber OVPN benutzerabhangig einschranken
PostPosted: 08.03.2016 19:58 
DES
DES
User avatar

Joined: 06.03.2016 06:21
Posts: 8
Location: Russia
red doch mal mit Alaska. Vielleicht sind ja die "alten" Probleme inzwischen behoben. Insbesondere, da ja im Moment ein neuer SQL-Zugriff eingebaut wird. Vielleicht haben die ja jetzt genau das richtige fur Dich?

Jan

___

XRumer 12.0.16 + SocPlugin: the BEST soft for Facebook / VK / Forums / Blogs promotion!
Only TODAY: -30% DISCOUNT for XRumer!


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zugriff über OVPN benutzerabhängig einschränken
PostPosted: 12.05.2016 17:17 
DES
DES
User avatar

Joined: 08.05.2016 10:33
Posts: 5
Der Post war von 2008! :D

_________________
Wo ich bin, herrscht Chaos, aber ich kann ja nicht überall sein!


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 8 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Google [Bot] and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net