classic.ISPforum.cz

Dobrý den,
měl bych takový dotaz - mám problem s tím jak aplikovat pravidla firewallu na vpn uživatele připojené přes pptp. V nastavení profilu uživatele je možnost zadat bridge, takže bych čekal, že uživatel přijde z tohoto bridge (takto to funguje třeba u openvpn). Nicméně u pptp uživatel přichází z bridge, který je ve formátu "pptp-"<jméno uživatele>. Takovýto provoz je ale na mnou definovaném firewallu zahozen posledním pravidlem, které zahazuje zbývající provoz. Nemáte někdo zkušenost jak tohle řešit, nechce se mi dělat pravidlo jen na základě zdrojové ip adresy (rozsah vpn klientů), to mi nepřijde moc bezpečné ani hezké. Díky!

Mno, nevím jestli jsem zcela pochopil zadání, ale já řeším oprávnění ve firewallu pro ppp (ovpn a pptp) klienty tak, že v "Profiles" mám nadefinovány jednotlivé skupiny uživatelů (jedna skupina uživatelů = zaměstnanci jedné firmy se stejným oprávněním) a každém profilu mám vytvořen "Incoming Filter". Ve firewallu se mě po připojení klienta objeví dynamické pravidlo s chainem "ppp" které mě "jumpne" do chainu uvedeneho v "Incoming Filter". Pro tento chain (uvedený v "Incoming Filter") mám vytvořeno pravidlo, kterým ošetřuji daný "Profile" (oprávnění dané firmy).

No pokial to pravidlo nechces robit na zaklade ip adries, alebo rozsahu tak asi to chces spravit na zaklade rozhrania...

rozhranie sa pri pptp vytvori dynamicky podla pripojeneho uzivatela, pokial s tym chces ale pracovat musis si ho pridat sam...
pptp - interface - pptp server (pomenujes si ho a do pola User napises nazov uctu v secrets)

teraz sa ti uz nebude vytvarat dynamicky interface po pripojeni pptp klienta ale pouzije sa automaticky ten co si vytvoril (ale len pre uzivatela ktoreho si nadefinoval v User)

No asi chapu, ale stejne me to nejak neuspokojuje. Delat rucni rozhranni nechci, protoze budu mit treba 20 useru. Varianta s firewallem je sice super (pravidlo ppp), ale problem je, ze ja mam zakazujici pravidlo pred timto pravidlem (mam tam nejaky log a pak drop), ktere se vzdy prida az nakonec v pravidlech (jsou to dve pravidla ppp). Takze mi nezbyde nez udelat to pravidlo na zaklade ip adresy a to se mi moc nelibi.