staging.inyokaproject.org

via DuckDuckGo

ufw und OpenVPN - VPN Client Zugriff einschränken möglich?

Status: Ungelöst | Ubuntu-Version: Kein Ubuntu
Antworten |

Vagabund

Avatar von Vagabund

Anmeldungsdatum:
11. April 2005

Beiträge: Zähle...
Zitieren
1. Mai 2021 10:38 (zuletzt bearbeitet: 1. Mai 2021 13:13)

Hallo zusammen,

ich habe auf meinen Server (ähm, kein Ubuntu sondern Raspberry OS) PiHole und OpenVPN (per PiVPN) laufen. Als Firewall nutze ich das Frontend ufw da mir das der einfachste Weg schien um den Server zu sichern. An der FritzBox ist der notwendige Port für OpenVPN am Raspberry offen. Alles läuft soweit gut, alle Clients haben Zugrif auf das Heimnetz und das Internet. Ich hätte jetzt aber gerne für manche Clients über die Firewall Einschränkungen definiert, so das diese nur noch auf einen definierten Port z.B. 4000 (oder IP z.B. 192.168.150.10) zugreifen können z.B. der Client mit der IP 10.8.0.10, alle anderen befindlichen Gerätschaften im Heimnetz und das Internet soll nicht verfügbar sein. Meine Frage wäre wie ich in ufw eine ensprechende Regel hinzufügen muss? Folgende Regeln sind in der user rules eingetragen:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
### RULES ###

### tuple ### route:allow any any 0.0.0.0/0 any 10.8.0.0/24 in_tun0!out_eth0
-A ufw-user-forward -i tun0 -o eth0 -s 10.8.0.0/24 -j ACCEPT

### tuple ### allow udp 1194 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p udp --dport 1194 -j ACCEPT

### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 22 -j ACCEPT

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 80 -j ACCEPT

### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 443 -j ACCEPT

### tuple ### allow tcp 9981 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 9981 -j ACCEPT

### tuple ### allow any 53 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 53 -j ACCEPT
-A ufw-user-input -p udp --dport 53 -j ACCEPT

### tuple ### allow any 67 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 67 -j ACCEPT
-A ufw-user-input -p udp --dport 67 -j ACCEPT

### END RULES ###

sudo ufw status gibt folgendes aus:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
Status: active

To                         Action      From
--                         ------      ----
1194/udp                   ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
443/tcp                    ALLOW       Anywhere
9981/tcp                   ALLOW       Anywhere
53                         ALLOW       Anywhere
67                         ALLOW       Anywhere
1194/udp (v6)              ALLOW       Anywhere (v6)
22/tcp (v6)                ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
443/tcp (v6)               ALLOW       Anywhere (v6)
9981/tcp (v6)              ALLOW       Anywhere (v6)
53 (v6)                    ALLOW       Anywhere (v6)
67 (v6)                    ALLOW       Anywhere (v6)

Anywhere on eth0           ALLOW FWD   10.8.0.0/24 on tun0

Die in der Status Ausgabe letzte Zeile wurde übrigens bei der PiVPN (OpenVPN) automatisch hinzugefügt. Danke schonmal.

Gruß

Moderiert von kB:

Aus dem Forum „Sicherheit“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.

Antworten |