IPTables VPN RDP

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo liebe Community,

    da ich noch recht neu auf dem Linux Gebiet bin, habe ich mich hier in diesem Forum angemeldet.
    Ich habe auch direkt eine Frage.

    Ich habe einen Raspberry eingerichtet und dort einen PPTP Server aufgesetzt.
    Die Einwahl funktioniert bereits problemlos.

    Nun möchte ich mithilfe von iptables nachfolgende Regel realisieren:
    - Der VPNUser soll nur per RDP (Port 3389) auf den Terminalserver 192.168.20.6 im Netzwerk des Raspberrys (eth0) Zugriff haben. Sämtlicher anderer Verkehr, der angefragt wird soll blockiert werden.

    Ich habe mich bereits gut eingelesen in dem Thema. Jedoch habe ich keine Lösung gefunden, die mir hilft.

    Ich wäre für eure Hilfe dankbar!

    Viele Grüße,
    chvb

  • Code
    echo "1" > /proc/sys/net/ipv4/ip_forward

    Dann musst Du nur noch die iptables FORWARD Rules setzen mit dem was erlaubt und was nicht erlaubt ist.

    Allgemein könntest Du FORWARD Policy auf DROP setzen und dann nur explizit in Deinem Fall Port 3389 freigeben.


    [font="Tahoma, Verdana, Arial, sans-serif"]VPN-Interface noch anpassen, wird sehr wahrscheinlich ppp0 sein. Das 10.1.1.0/24 ist das VPN Netz, das anpassen mit dem Netz oder sogar explizit einzelne IPs die Du per VPN vergibst. Wenn pro Host/IP muss Du die beiden Zeilen pro VPN Client anlegen. [/font]

    [font="Tahoma, Verdana, Arial, sans-serif"]Das kannst Du aber auch in einer [/font][font="Tahoma, Verdana, Arial, sans-serif"]Schleife machen. [/font]


  • Das wird nicht funktionieren.

    Code
    # Rein nur auf einen Rechner, reicht so :
    iptables -A FORWARD -p TCP -i <VPN-Interface>  -d 192.168.20.6 --dport 3389 -j ACCEPT
    # Raus, aber nur was eingehend aufgebaut wurde.
    iptables -A FORWARD -p TCP -i eth0 -o <VPN-Interface>  --state ESTABLISHED,RELATED -j ACCEPT
    # Alles loggen was nicht darf.
    # Wirkilich alles und nicht nur TCP, 
    iptables -A FORWARD -i <VPN-Interface> -o eth0 -j LOG --log-prefix "UnAuth-RDP-Connect"

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Hm ich bin mir nicht sicher aber fehlt da nicht auch noch eine PREROUTING und POSTROUTING chain und das laden der entsprechenden Kernel Module :huh:

    Also:

  • Ja, wenn du NAT machst dann schon.
    Hier war aber Forward gefragt.

    Besser wäre natürlich anstelle des Forward Chain den Input Chain zu benutzen.
    Dann kommen die Pakete erst gar nicht in den Routingprozess.

    Bei dem o.g. Beispiel ist ein Zugriff aus dem VPN auf die VPN Adresse des PI immer noch möglich.

    Ein wenig Lektüre :
    http://64-bit.de/dokumentatione…BLES-HOWTO.html

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (18. Dezember 2013 um 13:55)

  • Hallo zusammen,

    erstmal vielen Dank für die schnelle Reaktion und die guten Lösungen!

    Ich habe das ganze nun folgendermaßen ans laufen bekommen:

    in der pptpd.conf habe ich festgelegt dass der VPN Server die 192.168.1.1 besitzt.
    Nachdem ich nun per RDP an dem Remote PC mit aufgebauter VPN Verbindung eine Verbindung zu 192.168.1.1 herstelle, so gelange ich auf den Teminalserver mit der 192.168.20.6.

    Somit ist genau das erreicht, was ich erreichen wollte.

    Vielen Dank!!

    Viele Grüße,
    chvb

  • Und du kommst jetzt noch per SSH an den PI ?
    Und Verbindungen des Localhost auf dem PI funktionieren noch ?

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (18. Dezember 2013 um 16:34)

  • Du hast natürlich Recht.
    Ich habe das ganze noch etwas angepasst und ausgeweitet.

    Nun läuft ein OpenVPN Server. Die Firewall Regeln sind soweit angepasst, dass aus dem internen Netz des PI's ein Zugriff auf SSH möglich ist.

    Durch den Tunnel wird nur die RDP Sitzung und Internet durchgereicht.

    Danke nochmals für eure Unterstützung. Jetzt bin ich auf dem richtigem Weg.:thumbs1:

    Viele Grüße,
    chvb :D

    Einmal editiert, zuletzt von chvb (20. Dezember 2013 um 09:29)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!