IP-адреса блока с ipfw
Вы - работа, и домашние сети являются установкой на той же подсети (192.168.1.0/24), Вы испытываете необходимость для переключения одного из них к другой подсети иначе, машины никогда не будут мочь направить к машинам в другой сети, поскольку они думают, что они локальны.
Если Вы все еще не можете говорить после переключения подсети в одном местоположении, сообщение назад здесь, и мы можем работать с Вами оттуда.
Разъясниться немного о том, как VPN работает на основе Вашего комментария.
Вы не присваиваете клиентов VPN той же подсети как Вы офис. Они должны быть в уникальной подсети. Поскольку мой пример позволяет, принимают следующее:
- Домашняя подсеть
192.168.1.0/24 - Подсеть Office
10.0.0.0/24 - Подсеть VPN
10.2.0.0./24
Какое соединение с офисом было бы похоже, это:
- Домашний компьютер: NIC1:
192.168.1.50; vNIC1-VPN:10.2.0.50 - pfSense: PublicNIC:
1.1.1.1; PrivateNIC:10.0.0.10; vNIC1-VPN:10.2.0.1 - офисный сервер: NIC1:
10.0.0.100
vNICx-VPN зарубки будут установкой Вашим клиентом VPN / сервер
После того, как пользователь установил соединение VPN в офис, поток трафика будет похож:
Домашний компьютер соединяется с 10.0.0.100 это будет:
- Ищите маршрут в таблице маршрутизации
- посмотрите маршрут, который указывает адаптер VPN как шлюз
- Подсистема клиента VPN будет инкапсулировать пакеты
- Машина затем отправит их по общедоступному Интернету к pfSense маршрутизатору.
После того как маршрутизатор получает инкапсулированный пакет VPN это:
- отправляет его в подсистему Демона VPN
- Подсистема VPN будет декодировать пакет
- Хост будет искать незашифрованное место назначения
- Машина затем направит его надлежащий интерфейс, который будет отправлен на Сервер.
Ответ с сервера будет отправлен на pfSense маршрутизатор (так как подсеть непосредственно не соединена, и машина не имеет никаких маршрутов к той машине),
pfSense маршрутизатор будет:
- ищите Домашний компьютер IP VPN как, из именно это сервер будет рассматривать пакет как прибывающий.
- Таблица маршрутизации скажет этому отправлять его через VPN виртуальный адаптер.
- Пакет будет отправлен в vpn Подсистему, инкапсулировавшую, и отправил по Интернету к клиентской машине.
Однажды в клиентской машине подсистема VPN дешифрует пакет и отправит ему сетевой стек к приложению.
Промывка, промывка, повторяется.
Корректные правила должны быть восстановлены каждая перезагрузка. Это не будет непосредственно влиять на другие правила, но может косвенно (например, если бы другое правило позволило IP по любой причине, то это могло бы заблокировать IP...),
Вы ищете когда-либо популярный fail2ban, который читает файлы журналов и запрещает дюйм/с людей, делающих "плохие" вещи.
Кроме того, Вы действительно не хотите, также продолжают добавлять правила для каждого отдельного запрета, это быстро загрязнило бы правила. Можно добавить правило заблокировать таблицу однако, затем добавить дюйм/с к таблице. Таблица является просто списком дюйм/с, таким образом, можно легко применить правила к целой таблице вместо того, чтобы указать их всех индивидуально.
Например, у меня есть сценарий брандмауэра 'по умолчанию', который я использую, первые два правила в этом сценарии:
00030 deny ip from "table(1)" to me
00031 deny ip from "table(2)" to me
Ключевое слово "меня" означает любой мой локальный IP-адрес. Таблица 1 для Fail2Ban, когда это находит IP, этому не нравится, это добавляет IP к той таблице некоторое время. Таблица 2 для списка ОТБРАСЫВАНИЯ Spamhaus, списка известных профессиональных систем спама (см. их веб-сайт для деталей).
Можно добавить дюйм/с к таблице вручную с этой командой:
ipfw table 2 add
На моих серверах Таблица 2 заполняется автоматически при запуске сценарием /usr/local/etc/rc.d/spamhaus-drop следующим образом:
#!/bin/csh
fetch -i /tmp/drop.lasso -o /tmp/drop.lasso "http://www.spamhaus.org/drop/drop.lasso"
sed -i '' "s/;.*//" /tmp/drop.lasso
ipfw table 2 flush
foreach IP ( `cat /tmp/drop.lasso` )
ipfw table 2 add $IP
end
Я высоко поощряю Вас писать свой собственный сценарий для конфигурирования брандмауэра. Это довольно легко в FreeBSD с ipfw, и я не обеспокоился бы GUI (я знаю, что звуки трудно, когда это является все новым, но основы, легче, чем Вы думаете).
Мой сценарий конфигурации находится в /etc/ipfw.rules и идет как это:
#!/bin/sh
#FOR KEAIRA - The computer this script was customized for.
ipfw -q -f flush # Delete all rules
cmd="ipfw add"
# Ban tables
$cmd 00030 deny ip from "table(1)" to me
$cmd 00031 deny ip from "table(2)" to me
# Statefull firewall config, more secure
$cmd 00060 check-state
# Allow outbound traffic
$cmd 00130 allow ip from me to any keep-state
# SSH - I have SSH on port 2222 to keep the script kiddies out.
$cmd 11020 allow tcp from any to me dst-port 2222 setup keep-state
# DNS
$cmd 11090 allow tcp from any to me domain setup keep-state
$cmd 11092 allow udp from any to me domain
# NTP
$cmd 11100 allow tcp from any to me ntp setup keep-state
$cmd 11101 allow udp from any to me ntp
# General Network - ICMP & IGMP
$cmd 61001 allow icmp from any to any
$cmd 61002 allow igmp from any to any
# Deny the rest
$cmd 65500 deny ip from any to any
Этот сервер выполняет SSH (на альтернативном порте), DNS и NTP (время). Остальное - просто универсальный материал, я вставил все свои сценарии брандмауэра. Если у Вас есть другие сервисы, необходимо открыться, просто сообщить мне, и я настрою пример. Большинство сервисных названий можно добраться от /etc/services хотя, который делает запись их очень легкой. Это не строго необходимо для каждого правила иметь различное число, но это делает управление ими легче. Правила обрабатываются в порядке числом, но иначе нет никакого значения для чисел.
Этот сценарий "активируется", вставляя эти строки /etc/rc.conf
firewall_enable="YES" # Firewall On
firewall_script="/etc/ipfw.rules" # Firewall Script
Установка Fail2Ban является немного большим количеством работы, но это является довольно прямым также. Если Вы хотите больше деталей об этом, просто спрашиваете.