1 (12.11.2017 15:30:19 отредактировано i_love_linux)

Здравствуйте уважаемые пользователи linux!

У меня возник такой вопрос, есть ли возможность отрубить все порты для "внешнего" доступа к серверу, и разрешить только доступ из под vpn, который установлен на этом сервере?

То есть, если я подключен к vpn, доступ есть, могу просматривать сайты на веб сервере, могу подключаться к mysql, и т.д.
А если к vpn не подключен, то по внешнему ip адресу я не могу этого сделать.

Если можно, то желательно попроще, потому что я ещё не особо силён в linux ab
*** Добавлено: 12.11.2017 15:31:37 ***

Исключение разумеется будет составлять ssh, поскольку к нему идёт подключение по ключу.

Kubuntu 17.10

2

i_love_linux, закрыть все порты, кроме 22 и какой там для VPN, не подходит?

ᛈᚺ'ᚾᚷᛚᚢᛁ ᛗᚷᛚᚹ'ᚾᚨᚠᚺ ᚲᛏᚺᚢᛚᚺᚢ ᚱ'lᚷᛖᚺ ᚹᚷᚨᚺ'ᚾᚨᚷᛚ ᚠᚺᛏᚨᚷᚾ

Asus Prime B460M-K, i5-10500, Intel 630 UHD, DDR4 32 GB, SSD 500GB + HDD 2TB | Linux Mint 21.3 Cinnamon + Fedora 39 MATE (Compiz) + Windows 11 + macOS 12 Monterey

3

Rizado пишет:

не подходит?

А есть еще варианты?  ag

- Пап, а вирусы под линукс есть?
- Есть, но всего 5, и их сначала нужно откомпилировать под свою систему, дать права на запуск и запустить.
Как сделать и разместить скриншот || Прежде чем создавать тему

4

У нас так и пашет: открыты только ssh и openvpn

5

Ну тут одна оговорочка, открыть для vpn и ssh входящие а все остальное на вход закрыть.

Спросить - стыд минуты, не узнать - стыд всей жизни

6

Rizado, А если мне ещё нужны порты: 80, 443, 3306?
И мне нужно чтобы эти порты были доступны только внутри VPN соединения.

Как это можно настроить?
Я знаю что вроде бы можно в самом ufw разрешить порт только для определённого ip или подсети.
Только вот как это сделать, я не знаю.

Должно быть что то вроде:

sudo ufw allow 80/tcp 123.456.780.000/30

По крайней мере это я так себе представляю  ag
*** Добавлено: 12.11.2017 20:28:19 ***

Да, к сожалению курить маны иногда сложновато, поскольку я не особо знаком с английским.

Kubuntu 17.10

7

Зайкроте все порты кроме openvpn, далее когда тунель будет установлен, добавьте правило в iptables для вашего адреса.
На сервере внешнйи адрес 1.2.3.4/32, внутр 10.0.0.2/24, на клиенте  тогда: 10.0.0.3/24 , по сути дела на внут интерфейсах у вас все ьбудет разрешено, если конечно в iptables есть правило)

It is good day to die ...
MS Windows 10
Заметки о главном...

8

i_love_linux, да как два пальца... У vpn будут собственные и уникальные входящие адреса.  На них фаерволл и настраивайте.
Только по тому, чем вы их настраиваете -- занудливая штука. Могу рассказать про firewalld (который с непривычки тоже не прост)
А ещё вы не сказали про протокол вашего vpn. Для openvpn можно в крайнем случае повесить скрипт на соединение/рассоединение, который сделает всё, что вам нужно.  Но со стандартными действиями он и так неплохо справляется.

9

i2ks пишет:

Зайкроте все порты кроме openvpn, далее когда тунель будет установлен, добавьте правило в iptables для вашего адреса.
На сервере внешнйи адрес 1.2.3.4/32, внутр 10.0.0.2/24, на клиенте  тогда: 10.0.0.3/24 , по сути дела на внут интерфейсах у вас все ьбудет разрешено, если конечно в iptables есть правило)

Хорошо, спасибо  ab
*** Добавлено: 13.11.2017 19:31:12 ***

s.xbatob пишет:

i_love_linux, да как два пальца... У vpn будут собственные и уникальные входящие адреса.  На них фаерволл и настраивайте.
Только по тому, чем вы их настраиваете -- занудливая штука. Могу рассказать про firewalld (который с непривычки тоже не прост)
А ещё вы не сказали про протокол вашего vpn. Для openvpn можно в крайнем случае повесить скрипт на соединение/рассоединение, который сделает всё, что вам нужно.  Но со стандартными действиями он и так неплохо справляется.

Протокол tcp.
Про firewalld - спасибо, попробую.

Kubuntu 17.10

10

s.xbatob пишет:

Могу рассказать про firewalld (который с непривычки тоже не прост)

Эм рассказывай если не сложно. Я вот честно не понимаю профита от firewalld. Iptables наше всё.

Спросить - стыд минуты, не узнать - стыд всей жизни

11

lone_wolf пишет:

Iptables наше всё.

+1024 ab

Путь важнее цели.

12

Ради чего весь этот флейм про Fwd vs IPt?
На просторах рунета и не только куча инфы. Если вы не понмаиете как настроить firewalld, то у меня вопрос: Как вы настраиваете iptables, из статьи copy> paste , а потом iptables_restore  ?

It is good day to die ...
MS Windows 10
Заметки о главном...

13

i2ks, Нет не копипастом, но логика работы firewalld в корне отличается от iptables

Спросить - стыд минуты, не узнать - стыд всей жизни

14

lone_wolf пишет:

i2ks, Нет не копипастом, но логика работы firewalld в корне отличается от iptables

а что там не понятного? Что вас смущает?

It is good day to die ...
MS Windows 10
Заметки о главном...

15

i2ks, Ну как бы в iptables там цепочки и таблицы в принципе понятно. А в firewolld там какие то зоны, и не понятно вот главным преимуществом firewolld называют, что он динамичный, эм ну так и iptables сразу применяет правила если вводить с консоли, да и можно на лету подменить/подправить правило.
Похоже я узко и шаблонно мыслю. Над будет есче раз перечитать про firewolld.

Спросить - стыд минуты, не узнать - стыд всей жизни

16

lone_wolf пишет:

Ну как бы в iptables там цепочки и таблицы в принципе понятно.

здесь по аналогии.

lone_wolf пишет:

А в firewolld там какие то зоны

это одна из крутых фичь.

lone_wolf пишет:

Над будет есче раз перечитать про firewolld.

:-)

It is good day to die ...
MS Windows 10
Заметки о главном...

17

i2ks пишет:
lone_wolf пишет:

Ну как бы в iptables там цепочки и таблицы в принципе понятно.

здесь по аналогии.

То есть я могу не использовать зоны, а использовать старые добрые таблицы с цепочки?

i2ks пишет:
lone_wolf пишет:

А в firewolld там какие то зоны

это одна из крутых фичь.

Эм и в чём их крутость? Не ну для дестопа соглашусь в принципе может и удобно.

Спросить - стыд минуты, не узнать - стыд всей жизни

18

Настроил доступ к нужным мне портам только внутри VPN соединения с помощью ufw.

Вот команда:

sudo ufw allow in on tun0 to any port 80

Может ещё какому нубу вроде меня пригодится  ag
*** Добавлено: 14.11.2017 21:25:18 ***

Спасибо всем за помощь  ab

Kubuntu 17.10

19

Читайте что такое firewald и с чем и как его готовить.

It is good day to die ...
MS Windows 10
Заметки о главном...

20

i2ks, Ок, будем читать.

Спросить - стыд минуты, не узнать - стыд всей жизни