tôi không hiểu cách chặn smb trên lan ảo. Lan ảo 10.10.10.0/24. tôi sử dụng UFW
/etc/ipsec.conf
thiết lập cấu hình
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
kết nối ikev2-vpn
auto=thêm
nén = không
loại = đường hầm
keyexchange=ikev2
phân mảnh = có
forceencaps=yes
dpdaction=xóa
dpddelay=300s
gõ lại = không
còn lại =% bất kỳ
leftid=@server_domain_or_IP
leftcert=server-cert.pem
leftsendcert=luôn luôn
leftsubnet=0.0.0.0/0
đúng =% bất kỳ
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
quyềnendcert=không bao giờ
eap_identity=%identity
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
/etc/ufw/b Before.rules
# quy.trước
#
# Quy tắc nên được chạy trước dòng lệnh ufw thêm quy tắc. Tập quán
# quy tắc nên được thêm vào một trong các chuỗi sau:
# ufw-trước-đầu-vào
# ufw-trước-đầu ra
# ufw-trước-chuyển tiếp
#
* tự nhiên
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACC>
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
LÀM
* mangle
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp>
LÀM
# Đừng xóa những dòng bắt buộc này, nếu không sẽ có lỗi
*lọc
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-trước-chuyển tiếp - [0:0]
:ufw-not-local - [0:0]
# Kết thúc dòng yêu cầu
-Một ufw-before-forward --match policy --pol ipsec --dir trong --proto esp -s 10.10>
-Một ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.1>
# cho phép tất cả trên loopback
-A ufw-before-input -i lo -j CHẤP NHẬN
-A ufw-before-output -o lo -j CHẤP NHẬN
# nhanh chóng xử lý các gói mà chúng tôi đã có kết nối
-A ufw-before-input -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A ufw-before-output -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A ufw-before-forward -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
# hủy các gói KHÔNG HỢP LỆ (ghi nhật ký các gói này ở cấp độ log trung bình trở lên)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-Một ufw-before-input -m conntrack --ctstate INVALID -j DROP
# mã icmp ok cho INPUT
-A ufw-before-input -p icmp --icmp-type Destination-unreachable -j CHẤP NHẬN
-A ufw-before-input -p icmp --icmp-type time-exceeded -j CHẤP NHẬN
-Một ufw-before-input -p icmp --icmp-type tham số-vấn đề -j CHẤP NHẬN
-A ufw-before-input -p icmp --icmp-type echo-request -j CHẤP NHẬN
# ok mã icmp cho FORWARD
-A ufw-before-forward -p icmp --icmp-type Destination-unreachable -j CHẤP NHẬN
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j CHẤP NHẬN
-A ufw-before-forward -p icmp --icmp-type tham số-vấn đề -j CHẤP NHẬN
-A ufw-before-forward -p icmp --icmp-type echo-request -j CHẤP NHẬN
# cho phép máy khách dhcp hoạt động
-A ufw-before-input -p udp --sport 67 --dport 68 -j CHẤP NHẬN
#
# ufw-không cục bộ
#
-A ufw-before-input -j ufw-not-local
# nếu ĐỊA PHƯƠNG, TRẢ LẠI
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
# nếu ĐA NĂNG, TRẢ LẠI
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
# nếu PHÁT SÓNG, TRỞ LẠI
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
# tất cả các gói không cục bộ khác bị loại bỏ
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
# cho phép MULTICAST mDNS khám phá dịch vụ (đảm bảo dòng MULTICAST ở trên
# không được chú thích)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j CHẤP NHẬN
# cho phép MULTICAST UPnP khám phá dịch vụ (đảm bảo dòng MULTICAST ở trên
# không được chú thích)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j CHẤP NHẬN
# không xóa dòng 'CAM KẾT' nếu không các quy tắc này sẽ không được xử lý
LÀM
