VPN открыть порт через IPFW для MPD5

После запуска VPN-сервера возникает вопрос как же открыть порты для vpn. Ответ на этот вопрос можно найти в этой статье. В частности будет рассматриваться как открыть доступ для mpd5 на FreeBSD. Файрвол IPFW.

Достаточно добавить несколько правил в ваш скрипт, который формирует правила.

Привожу выдержки строк, заметьте это всего лишь выдержки строк а не полный скрипт.

#!/bin/sh

ipfw=’/sbin/ipfw -q’
# Внешний интерфейс. Подставьте сюда свой
oif=’re0′

# Здесь указываем IP адреса, которые будут присваиваться пользователям, использующим vpn. Подставьте ваши значения, можно указать диапазон адресов например: 192.168.0.0/24

vpn=192.168.0.10,192.168.0.11,192.168.0.12

 

#Разрешает входящие пакеты по протоколу tcp от любого хоста на ваш сервер по внешнему интерфейсу на порт 1723 (используется для инициации и управления GRE-соединением)

${ipfw} add allow tcp from any to me 1723 in via ${oif}

 

#Разрешает исходящие пакеты от вашего сервера по пору 1723 по внешнему интерфейсу на любой хост сети

${ipfw} add allow tcp from me 1723 to any out via ${oif}

 

#Разрешить исходящие пакеты по протоколу *GRE от вашего сервера на любой хост сети по внешнему интерфейсу

${ipfw} add allow gre from me to any out via ${oif}

 

#Разрешить входящие пакеты по протоколу *GRE от любого хоста на ваш сервер по внешнему интерфейсу

${ipfw} add allow gre from any to me in  via ${oif}

 

# Разрешает все исходящие пакеты по протоколу ip от любого хоста на внутренние IP-адреса VPN-клиентов

${ipfw} add allow ip from any to ${vpn} out

 

# Разрешает все входящие пакеты по протоколу ip от IP-адресов VPN-клиентов на любой хост

${ipfw} add allow ip from ${vpn} to any in

Последние 2 правила немножко непонятны по своей логике так как компьютер подключенный через VPN является одновременно и внешним хостом и хостом входящим в локальную сеть.

*GRE — протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты.

Комментарии
Если статья вам помогла (или не помогла), оставьте комментарий с отзывом для других пользователей и автора
Добавить комментарий

Ваш e-mail не будет опубликован.

Sidebar