・CentOS 5.2 に OpenVPN を突っ込むテスト[3] の続きです。
とりあえず、皆さん繋がりました? ルーティング方式の場合、OpenVPNのインストールされたサーバしかアクセスできません。言い換えれば、社内LANにぶら下がっている場合、被害がそのサーバだけで防げるとも考えられます。で、この場合、SSHは標準で繋がると思います。(CentOS 5.2は、デフォルトでSSHと数ポートしか開けてくれない) OpenVPNのサーバを踏み台にして、SSHで社内LANに繋がったサーバに接続しに行くのは簡単です。
で、たぶん繋がらないと思うので、CentOS 5.2に穴を開けましょう。
□CentOS 5.2に穴を開けましょう!
CentOS では、root権限用に以下のコマンドを用意していますが、使いませんw
sudo system-config-securitylevel-tui
/etc/sysconfig/iptables をroot権限で直接書き換えましょう。
sudo vi /etc/sysconfig/iptables
CentOS 5.2 のミニマムインストールでは、こんな感じです。
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
まず、OpenVPN用の穴を開けます。–dport 22 の行の次に追加する感じで。
-A RH-Firewall-1-INPUT -m state –state NEW -m udp -p udp –dport 1194 -j ACCEPT
次に、iptables で上の行を有効・保存します。
sudo /etc/init.d/iptables restart
sudo /etc/init.d/iptables save
次に、Linux が万一リブートしても困らないように、自動起動するようにしましょう。/etc/init.d/openvpn はパッケージが自動的に作ってくれるので、起動はこんな感じで。
sudo /etc/init.d/openvpn start
openvpn を起動中: [ OK ]
なんか、NGと出たら、sudo tail –100 /var/log/message でエラーを確認。OK ならrc*.dに反映させましょう。
sudo chkconfig openvpn on
では、Windows(クライアント側)からアクセスしてみましょう。SSHクライアントで、10.8.0.1 に繋がればOKです。
以降は、CentOS 5.2 に OpenVPN を突っ込むテスト[5]へ
ピンバック: わがまま大王@みらにすた - CentOS 5.2 に OpenVPN を突っ込むテスト[5]