অনামী হিসাবে ওপেনভিপিএন অভ্যন্তরীণ সার্ভারে এসএসএইচ অ্যাক্সেসের অনুমতি দিন

10

আমি একটি বেনামে ভিপিএন ব্যবহার করছি, তবে অভ্যন্তরীণ কম্পিউটারে এসএসএইচ অ্যাক্সেস চাই।

কীভাবে আমি এসএসএইচের মাধ্যমে আমার অভ্যন্তরীণ কম্পিউটার অ্যাক্সেস করব? আমি যখন 98.123.45.6 এসএসএস করি তখন সংযোগটি শেষ হয়ে যায়।

  • কেবল সরবরাহকারী থেকে IP ঠিকানা: 98.123.45.6
  • ভিপিএন এর মাধ্যমে বেনামে আইপি: 50.1.2.3
  • অভ্যন্তরীণ কম্পিউটার: 192.168.1.123

আশেপাশে অনুসন্ধান করার সময়, আমি হয় iptables নিয়মগুলি সেট করার, রাউটিং বিধিগুলি বা sshd_config এ লিনাকএড্রেস যুক্ত করার জন্য সুপারিশ পেয়েছি। এর মধ্যে কোনটি আমার ক্ষেত্রে প্রযোজ্য?

এখানে আমার রুট :

কার্নেল আইপি রাউটিং টেবিল
গন্তব্য গেটওয়ে জেনমাস্ক ফ্ল্যাগগুলি মেট্রিক রেফ ব্যবহার করুন আইফেস
10.115.81.1 10.115.81.9 255.255.255.255 UGH 0 0 0 টিউন 0
10.115.81.9 * 255.255.255.255 UH 0 0 0 টিউন 0
50.1.2.3-sta ddwrt 255.255.255.255 UGH 0 0 0 eth0
192.168.1.0 * 255.255.255.0 ইউ 202 0 0 এথ0
169.254.0.0 * 255.255.0.0 U 204 0 0 vboxnet0
লুপব্যাক * 255.0.0.0 ইউ 0 0 0 লো
ডিফল্ট 10.115.81.9 128.0.0.0 ইউজি 0 0 0 টিউন 0
128.0.0.0 10.115.81.9 128.0.0.0 ইউজি 0 0 0 টিউন 0
ডিফল্ট ddwrt 0.0.0.0 UG 202 0 0 eth0
ssh  vpn  openvpn 
লিওনেল
সূত্র

উত্তর:

15

এই সমস্যাটি সমাধান করার জন্য আপনাকে iptables এবং রাউটিং বিধি উভয়ই সেট আপ করতে হবে । আপনার যে নির্দিষ্ট সমস্যার মুখোমুখি হচ্ছেন তা হ'ল আউটগোয়িং এসএসএইচ প্যাকেটগুলি আপনার ইথারনেট ইন্টারফেসের পরিবর্তে আপনার বেনামে ভিপিএন টানেল ইন্টারফেসের মাধ্যমে পাঠানো হচ্ছে। এটি ঘটছে কারণ আপনার ভিপিএন সফ্টওয়্যারটি টানেল ইন্টারফেসের মাধ্যমে যেকোন এবং সমস্ত অপরিকল্পিত ট্র্যাফিক প্রেরণের জন্য একটি রাউটিং বিধি সেট করেছে। আপনার নেটওয়ার্ক ট্র্যাফিক বেনামে রাখার জন্য ভাল; আপনার কম্পিউটারে এসএসএইচ সংযোগ স্থাপনের জন্য খারাপ।

এই সমস্যাটি সমাধানের কয়েকটি উপায় রয়েছে তবে আমি আপনার সাথে ভাগ করে নেব যা একই পরিস্থিতিতে আমার পক্ষে কাজ করেছিল। আমাদের যা করা দরকার তা এখানে:

  1. নন-ভিপিএন ট্র্যাফিক পরিচালনা করতে একটি নতুন আইপি রুল টেবিল তৈরি করুন
  2. নির্দিষ্ট নেটফিল্টার মুখোশযুক্ত চিহ্নিত কোনও প্যাকেটের জন্য আমাদের নো-ভিপিএন টেবিলটি অনুসন্ধান করতে একটি আইপি বিধি যুক্ত করুন
  3. একটি আইপি রুট যুক্ত করুন যা আমাদের নন-ভিপিএন টেবিলের সমস্ত ট্র্যাফিককে টানেলের পরিবর্তে আপনার ইথারনেট ইন্টারফেসটি ব্যবহার করার নির্দেশ দেয়
  4. আমাদের নির্ধারিত নেটফিল্টার মাস্ক সহ সমস্ত এসএসএইচ ট্র্যাফিক চিহ্নিত করতে একটি আইপটবেবল বিধি যুক্ত করুন

নোট: আমি Raspbian সঙ্গে যখন নিম্নলিখিত করছেন কাজ ছিল, তাই আপনি পারে কমান্ড একটু আপনার ডিস্ট্রো মাপসই সমন্বয় করতে হবে।

একটি নতুন আইপি রুল টেবিল তৈরি করা হচ্ছে

আইপ্রউট 2 এর টেবিল সংজ্ঞা ফাইলটি পরীক্ষা করে শুরু করুন। আমরা নিশ্চিত করতে চাই যে আমরা বিদ্যমান কোনও নিয়ম সারণীর নাম বা সংখ্যা ব্যবহার করি না।

cat /etc/iproute2/rt_tables

আপনি সম্ভবত এই লাইনের সাথে কিছু দেখতে পাবেন:

# reserved values
255      local 
254      main
253      default   
0        unspec
#
# local
#
#1      inr.ruhep

আপনার নতুন নিয়ম টেবিলের জন্য একটি স্বেচ্ছাসেবী সংখ্যা এবং নাম বাছুন - উপরে কিছু ব্যবহার করা হয়নি। আমি novpnএই উত্তরটির বাকী অংশের জন্য 201 নম্বর এবং নাম ব্যবহার করব।

সংজ্ঞা ফাইলের সাথে সরাসরি একটি সংজ্ঞা যুক্ত করুন বা এটি আপনার পছন্দের পাঠ্য সম্পাদকটিতে সম্পাদনা করুন:

echo "201 novpn" >> /etc/iproute2/rt_tables

নো-ভিপিএন টেবিলটি অনুসন্ধান করতে একটি নতুন আইপি বিধি যুক্ত করুন

নেটফিল্টার মুখোশগুলি সম্পর্কিত যে কোনও বিদ্যমান আইপি বিধি পরীক্ষা করে দেখুন:

ip rule show | grep fwmark

যদি গ্রেপ কিছু না করে, আপনি পরিষ্কার you're যদি এটি কিছু লাইন মুদ্রণ করে তবে fwmarkপ্রতিটি লাইনে শব্দের ডানে হেক্সাডেসিমাল নোটটি নোট করুন । আপনাকে বর্তমানে এমন কোনও নম্বর বাছাই করতে হবে যা বর্তমানে ব্যবহৃত হচ্ছে না। যেহেতু আমার কোনও বিদ্যমান fwmark বিধি নেই, তাই আমি 65 নম্বরটি বেছে নিয়েছি।

ip rule add fwmark 65 table novpn

এটি যা করে তা নেটফিল্টার মাস্ক 65 সহ যে কোনও প্যাকেটগুলি novpnকীভাবে প্যাকেটগুলি রুট করতে হবে তার নির্দেশাবলীর জন্য আমাদের নতুন টেবিলটি সন্ধান করে।

ইথারনেট ইন্টারফেসটি ব্যবহার করতে আমাদের নতুন টেবিলের সমস্ত ট্র্যাফিককে নির্দেশ দিন

ip route add default via YOUR.GATEWAY.IP.HERE dev eth0 table novpn

এখানে গুরুত্বপূর্ণ বিষয়টি লক্ষ্য করুন dev eth0। এটি novpnআপনার ভিপিএন তৈরি করে ভার্চুয়াল টানেল ইন্টারফেসের পরিবর্তে কেবলমাত্র হার্ডওয়ার ইথারনেট ইন্টারফেস ব্যবহার করতে টেবিলের মধ্য দিয়ে যাওয়া সমস্ত ট্র্যাফিককে বাধ্য করে।

আপনার নতুন নিয়ম এবং রুটগুলি তাত্ক্ষণিকভাবে কার্যকর হয় তা নিশ্চিত করার জন্য, আপনার আইপ্রেট ক্যাশে ফ্লাশ করার জন্য এখনই ভাল সময় হবে:

ip route flush cache

নির্ধারিত নেটফিল্টার মাস্ক সহ সমস্ত এসএসএইচ ট্র্যাফিক চিহ্নিত করতে ফায়ারওয়াল বিধি নির্দেশ দিন

iptables -t mangle -A OUTPUT -p tcp --sport 22 -j MARK --set-mark 65

আমার কাছে কোনও দুর্দান্ত গভীরতায় ব্যাখ্যা করার জন্য এখানে অনেকগুলি বিকল্প রয়েছে। আমি এখানে কী চলছে তার অনুভূতি পেতে iptables এর জন্য ম্যানুয়াল পৃষ্ঠাটি পড়তে আপনাকে উত্সাহিত করছি:

man iptables

সংক্ষেপে: আমরা ফায়ারওয়ালের ম্যাঙ্গেল টেবিলটিতে একটি আউটপুট নিয়ম যুক্ত করছি (বিশেষায়িত প্যাকেট হ্যান্ডলিংয়ের জন্য) যা আমাদের নির্ধারিত নেটফিল্টার মাস্ক 65 সহ উত্স বন্দর 22 থেকে উত্পন্ন কোনও টিসিপি প্যাকেট চিহ্নিত করতে নির্দেশ দেয়।

তারপর কি?

এই মুহুর্তে, আপনার এসএসএইচ পরীক্ষা করার জন্য প্রস্তুত হওয়া উচিত। যদি সবকিছু ঠিকঠাক হয় তবে আপনাকে খুশি "লগইন হিসাবে" প্রম্পটের সাথে দেখা করা উচিত।

সুরক্ষার স্বার্থে, আমি আপনাকে পরামর্শ দিচ্ছি যে আপনি আপনার ফায়ারওয়ালটিকে টানেল ইন্টারফেস থেকে আগত কোনও এসএসএইচ অনুরোধ বাদ দিতে পারেন:

iptables -A INPUT -i tun0 -p tcp -m tcp --dport 22 -j DROP

নোট করুন যে উপরের সমস্ত নির্দেশাবলী ক্ষণস্থায়ী (নিয়ম সারণী আইডি তৈরি ব্যতীত) - পরের বার আপনি যখন কম্পিউটারটি পুনরায় চালু করবেন তখন তারা সাফ করবে। এগুলি স্থায়ী করা আপনার কাছে ছেড়ে আসা অনুশীলন।

বেন ডি।
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.