https://opennet.ru/openforum/vsluhforumID1/86151.html Привет всем.<br><br>[Вводная часть]<br><br>Есть CentOS 5.3 с OpenVPN. Клиенты получают адреса динамически. Хочется вести acl в виде:<br><br>RDP (разрешить tcp-соединения на RDP-порт, ip-адрес z): ip-адрес1, ip-адрес2, ...<br>site1 (разрешить tcp-соединения на порт x, ip-адрес y): ip-адрес3, ip-адрес4, ...<br>и т.д.<br><br>Первое решение: создать в цепочке FORWARD правила типа:<br>-p tcp --dport 3389 --dst z -j ACL_RDP<br>-p tcp --dport x --dst y -j ACL_SITE1<br><br>и динамически добавлять/удалять ip-адреса в цепочки ACL_*<br>Но imho это не совсем эстетично, существуют проблемы синхронизации правил в /etc/sysconfig/iptables-save и в ядре (netfilter): добавили вручную правило в /etc/sysconfig/iptables-save, загрузили (iptables-restore), все ACL_* очистились, клиентам нужно переконекчиваться, сохранили правила из netfilter в /etc/sysconfig/iptables-save (iptables-save), теперь правила в ACL_* будут постоянными (запишутся на диск). Вообщем, выглядит хрупким и чревато сложностями.<br><br>[Основная часть]<br><br>Хотелось бы иметь какие-то файлы в /proc https://opennet.ru/openforum/vsluhforumID1/86151.html#18 Fri, 07 Aug 2009 08:16:35 GMT &gt;man iptables <br>&gt;<br>&gt;find recent <br><br>вот же ... когда искал в гугле, все примеры про recent были про динамичекское создание правил из самого netfilter, про работу с файлами ничего не было, а еще думал, почему слово такое знакомое! Похоже, это оно, спасибо большое! :)<br><br> https://opennet.ru/openforum/vsluhforumID1/86151.html#17 Fri, 07 Aug 2009 07:49:14 GMT man iptables<br><br>find recent<br> https://opennet.ru/openforum/vsluhforumID1/86151.html#16 Fri, 07 Aug 2009 06:48:48 GMT <br>&gt;а если задействовать параметры up и down. Поскольку каждый демон на своём <br>&gt;интерфейсе то при поднтии интерфейса чистка цепочки соответствующего демона с дальнейшим <br>&gt;заполнением при подключении клиентов. <br><br>хм, мне казалось, что эти скрипты выполняются при коннекте с клиентом, сейчас проверил -- ошибался. Буду думать, спасибо.<br> https://opennet.ru/openforum/vsluhforumID1/86151.html#15 Thu, 06 Aug 2009 17:20:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;vpn "сбойнул" то при рестарте <br>&gt;&gt;vpn он почистит цепочки, а клиенты при переподключении автоматом добавятся в цепочки <br>&gt;&gt;(смысл хранить привила при рестарте vpn клиентам всё равно переподключаться). <br>&gt;<br>&gt;Я думал над этим, но в сборке под RHEL (из epel) нет <br>&gt;возможности привязать запуск скриптов к старту конкретного openvpn-процесса (у меня два <br>&gt;openvpn-демона). На выходных пришла мысль создавать цепочку имени ip-адреса (например, для <br>&gt;ip a.b.c.d цепочку a-b-c-d) и при подключении клиента делать iptabless -F <br>&gt;a-b-c-d, но что-то в этой идее не понравилось (сейчас не могу <br>&gt;вспомнить что конкретно, попробую еще подумать). <br><br>а если задействовать параметры up и down. Поскольку каждый демон на своём интерфейсе то при поднтии интерфейса чистка цепочки соответствующего демона с дальнейшим заполнением при подключении клиентов.<br> https://opennet.ru/openforum/vsluhforumID1/86151.html#14 Thu, 06 Aug 2009 13:55:27 GMT &gt;&gt;это вроде для простой блокировки списков ip?.. <br>&gt;<br>&gt;оба используют NFQUEUE так что можно и достаточно хитрые правила делать. <br>&gt;хотя опыт пользования этими программами не большой, так что подробного описания возможностей <br>&gt;и подводных камней дать не могу. <br><br>посмотрел iplist, imho программа жестко заточенная под блокировку ip-адресов, вторая давно не обновляется.<br> https://opennet.ru/openforum/vsluhforumID1/86151.html#13 Thu, 06 Aug 2009 13:41:16 GMT &gt;А если при старте vpn он будет чистить свои цепочки. Ну если <br>&gt;vpn "сбойнул" то при рестарте <br>&gt;vpn он почистит цепочки, а клиенты при переподключении автоматом добавятся в цепочки <br>&gt;(смысл хранить привила при рестарте vpn клиентам всё равно переподключаться). <br><br>Я думал над этим, но в сборке под RHEL (из epel) нет возможности привязать запуск скриптов к старту конкретного openvpn-процесса (у меня два openvpn-демона). На выходных пришла мысль создавать цепочку имени ip-адреса (например, для ip a.b.c.d цепочку a-b-c-d) и при подключении клиента делать iptabless -F a-b-c-d, но что-то в этой идее не понравилось (сейчас не могу вспомнить что конкретно, попробую еще подумать).<br> https://opennet.ru/openforum/vsluhforumID1/86151.html#12 Thu, 06 Aug 2009 13:40:58 GMT &gt;это вроде для простой блокировки списков ip?.. <br><br>оба используют NFQUEUE так что можно и достаточно хитрые правила делать.<br>хотя опыт пользования этими программами не большой, так что подробного описания возможностей и подводных камней дать не могу.<br> https://opennet.ru/openforum/vsluhforumID1/86151.html#11 Thu, 06 Aug 2009 13:26:31 GMT &gt;можно привести другой пример: добавили правило <br>&gt;--src x --dport y -j ACCEPT <br>&gt;после этого vpn сбойнул (или по каким-то другим причинам не отработал скрипт <br>&gt;удаления правила для ip x) <br><br>А если при старте vpn он будет чистить свои цепочки. Ну если vpn "сбойнул" то при рестарте<br>vpn он почистит цепочки, а клиенты при переподключении автоматом добавятся в цепочки (смысл хранить привила при рестарте vpn клиентам всё равно переподключаться). Скрипт не завист от работы vpn, демон либо работает и скрипт пускается и работает не зависимо от него, либо vpn не работает. <br>&gt;после запуска openvpn кто-то другой получает ip-адрес x, и для него уже <br>&gt;есть правило (осталось от предыдущего клиента). В iptables к сожалению нет <br>&gt;возможности просто выполнить <br>&gt;iptables -D FOWRAWD --src x * <br>&gt;(wildcards не поддерживаются) <br>&gt;нужно четко задавать правила, а парсить вывод iptables -nv, а потом на <br>&gt;основе полученного генерировать параметры для iptables -D ... чревато один лишний <br>&gt;параметр не подхватил и правило не у https://opennet.ru/openforum/vsluhforumID1/86151.html#10 Thu, 06 Aug 2009 12:59:21 GMT &gt;Есть ещё iplist и moblock <br><br>это вроде для простой блокировки списков ip?..<br>