+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как ограничить доступ пользователя VPN к одному серверу?

Как ограничить доступ пользователя VPN к одному серверу?, RouterOS

toedwyday

Guest

18.05.2011 17:55:00

Всем привет! Хочу создать VPN-аккаунт в разделе “PPP”, назвать его “user1”. Этот аккаунт должен иметь доступ только к одному серверу (IP: 1.1.1.1, ftp порт 21) в моей внутренней сети. user1 будет подключаться к VPN из интернета. Моя идея — сделать два правила в файрволе. Первое разрешит user1 доступ к серверу 1.1.1.1 на ftp порт 21, второе — сбрасывать любые другие подключения к другим серверам или протоколам.

Я создал “профиль” в “PPP” и назвал его “profile1”, затем в profile1 указал удалённый IP 9.9.9.9. Потом в разделе “Secrets” под “PPP” создал аккаунт “user1” и назначил ему профиль “profile1”.

В “Firewall” → “Address Lists” создал список с именем “ftp_list” и адресом 9.9.9.9. В “Firewall” → “Filter Rules” добавил правило №1: цепочка input, dst-адрес 1.1.1.1, протокол tcp, dst порт 21. На вкладке “Advanced” в поле Src.address list указал ftp_list, Action=accept (предполагаю, что когда user1 подключится, ему назначится IP 9.9.9.9 из ftp_list, и тогда он сможет ftp к 1.1.1.1 на порт 21).

Там же добавил правило №2: цепочка input, протокол tcp, действие drop (должно блокировать всё, что не разрешено правилом №1).

Но я проверял — это не работает. Когда user1 подключается к маршрутизатору MK, он может пинговать, подключаться по telnet и ftp к любым серверам. Хочу ограничить доступ user1 только сервером 1.1.1.1 из интернета из соображений безопасности. Кто может посоветовать, что делать? Спасибо!

matiaszon

Guest

25.03.2017 20:36:00

Я искал такое же решение для пользователей моего L2TP VPN и наткнулся на этот пост. Я добавил следующие строки:

/ip firewall filter
add chain=pptp-filter-in action=accept dst-address=1.1.1.1 protocol=tcp dst-port=21
add chain=pptp-filter-in action=drop
add chain=pptp-filter-out action=drop
add chain=forward action=jump jump-target=ppp

но это не сработало. Как только я переместил правило jump наверх, всё заработало. Теперь выглядит так:

16 ;;; L2TP
chain=forward action=jump jump-target=ppp connection-state="" log=no
log-prefix=""

17 chain=l2tp-filter-in action=accept connection-state=""
dst-address=192.168.88.100 log=no log-prefix=""

18 chain=l2tp-filter-in action=drop log=no log-prefix=""

19 chain=l2tp-filter-out action=drop log=no log-prefix=""

В итоге узлы могут обращаться только к одному серверу с адресом 192.168.88.100 и не имеют доступа в Интернет. Но есть две странные вещи. Независимо от того, включено или выключено правило №19, в работе это не меняется. Когда правило №18 включено, то узлы не могут ничего делать, кроме как обращаться к 192.168.88.100. В Интернет тоже доступа нет. Я думал, что правило №19 должно разрешать или запрещать доступ в Интернет… Что я делаю не так?

matiaszon Guest	#3 0 27.03.2017 14:15:00 Кто-нибудь?

matiaszon

Guest

28.03.2017 00:15:00

Наконец-то я добился того, чего хотел! Много попыток, но получилось. Прежде всего, если у вас есть какие-то правила сверху, разрешающие доступ к другим сетям, и вы не хотите, чтобы пользователи VPN имели к ним доступ, вы должны поставить это правило jump ПЕРЕД ними.

add chain=forward action=jump jump-target=ppp

Потом у меня возникли проблемы с тем, чтобы дать некоторым пользователям доступ в интернет, но ограничить доступ только к описанным IP-адресам. Я мог либо разрешить доступ к одному серверу и отключить интернет, либо к одному серверу, интернету и вообще ко всем устройствам в LAN.

В общем, мои правила фильтра для пользователей VPN выглядят так:

/ip firewall filter
add action=accept chain=l2tp-filter-in comment="VPN Rules" connection-state="" dst-address=192.168.88.100
add action=drop chain=l2tp-filter-in connection-nat-state=!srcnat
add action=drop chain=l2tp-filter-out connection-nat-state=srcnat

Предполагается, что первое правило даёт доступ только к одному серверу, если я отключаю третье правило — теряется доступ в интернет, а когда отключаю второе — даю доступ ко всей LAN. Вот теперь это именно то, что мне было нужно.

steinbergs

Guest

13.07.2017 13:28:00

Моя настройка для сервера OVPN:

/ppp profile add address-list=VPN_USER_client local-address=10.15.32.33 name=USER remote-address=ovpn-lan

/ip firewall address-list add address=10.0.0.10 list=VPN_USER_server

/ip firewall filter
add action=jump chain=forward jump-target=VPN_USER src-address-list=VPN_USER_client

add action=accept chain=VPN_USER dst-address-list=VPN_USER_server dst-port=3389 protocol=tcp
add action=drop chain=VPN_USER

lopar Guest	#6 0 29.03.2018 12:05:00 Всем привет, я пытался использовать правила для l2tp, которые предоставил @matiaszon, но правило, разрешающее доступ в Интернет для пользователя VPN, у меня не сработало. Ещё один вопрос: вы использовали jump rule add chain=forward action=jump jump-target=ppp, чтобы игнорировать сетевые правила. Есть ли у вас ещё одно jump-правило в конце правил VPN, чтобы вернуться обратно, или это происходит автоматически?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры