я не понимаю, как заблокировать smb в виртуальной сети. Виртуальная сеть 10.10.10.0/24. я использую УФВ
/etc/ipsec.conf
настройка конфигурации
charondebug="ike 1, knl 1, cfg 0"
уникальные идентификаторы = нет
подключение ikev2-vpn
авто=добавить
сжать=нет
тип=туннель
обмен ключами=ikev2
фрагментация=да
форсэнкапс=да
dpdaction=очистить
dpddelay=300 с
ключ = нет
слева=% любой
leftid=@server_domain_or_IP
leftcert=сервер-cert.pem
leftsendcert=всегда
левая подсеть=0.0.0.0/0
справа=%любой
правый ID=%любой
правая авторизация = eap-mschapv2
исходный код=10.10.10.0/24
правый DNS=8.8.8.8,8.8.4.4
rightsendcert=никогда
eap_identity=%идентификация
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
/etc/ufw/before.rules
# правила.перед
#
# Правила, которые должны выполняться перед добавлением правил командной строки ufw. Обычай
# правила должны быть добавлены в одну из этих цепочек:
# ufw-до-ввода
# ufw-перед-выводом
# ufw-до-вперед
#
*натуральный
-A ОТПРАВКА -s 10.10.10.0/24 -o eth0 -m policy --poli ipsec --dir out -j ACC>
-A РАЗМЕЩЕНИЕ -s 10.10.10.0/24 -o eth0 -j MASQUERADE
СОВЕРШИТЬ
* калечить
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp>
СОВЕРШИТЬ
# Не удаляйте эти обязательные строки, иначе будут ошибки
*фильтр
:ufw-до-ввода - [0:0]
:ufw-до-вывода - [0:0]
:ufw-до-вперед - [0:0]
:ufw-не-местный - [0:0]
# Конец обязательных строк
-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10>
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.1>
# разрешить все на петле
-A ufw-перед-вводом -i lo -j ПРИНЯТЬ
-A ufw-перед-выводом -o lo -j ПРИНЯТЬ
# быстро обрабатывать пакеты, для которых у нас уже есть соединение
-A ufw-before-input -m conntrack --ctstate СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A ufw-before-output -m conntrack --ctstate СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A ufw-before-forward -m conntrack --ctstate СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
# отбрасывать НЕДЕЙСТВИТЕЛЬНЫЕ пакеты (регистрирует их в лог-уровне от среднего и выше)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
# ок icmp коды для ВВОДА
-A ufw-перед-вводом -p icmp --icmp-type назначение-недоступно -j ПРИНЯТЬ
-A ufw-перед-вводом -p icmp --icmp-type время-превышено -j ПРИНЯТЬ
-A ufw-перед-вводом -p icmp --icmp-тип проблема-параметра -j ПРИНЯТЬ
-A ufw-before-input -p icmp --icmp-type echo-request -j ПРИНЯТЬ
# ok icmp код для FORWARD
-A ufw-before-forward -p icmp --icmp-type назначение-недоступно -j ПРИНЯТЬ
-A ufw-before-forward -p icmp --icmp-type время-превышено -j ПРИНЯТЬ
-A ufw-before-forward -p icmp --icmp-тип проблема-параметра -j ПРИНЯТЬ
-A ufw-before-forward -p icmp --icmp-type echo-request -j ПРИНЯТЬ
# разрешить работу dhcp-клиента
-A ufw-перед-вводом -p udp --sport 67 --dport 68 -j ПРИНЯТЬ
#
# ufw-не-локальный
#
-A ufw-перед вводом -j ufw-не-локальный
# если ЛОКАЛЬНЫЙ, ВОЗВРАТ
-A ufw-not-local -m тип_адреса --dst-type МЕСТНЫЙ -j ВОЗВРАТ
# если МНОГОКАСТОВЫЙ, ВОЗВРАТ
-A ufw-not-local -m тип_адреса --dst-type МНОГОКАСТОВЫЙ -j ВОЗВРАТ
# если ТРАНСЛЯЦИЯ, ВОЗВРАТ
-A ufw-not-local -m тип_адреса --dst-type РАССЫЛКА -j ВОЗВРАТ
# все остальные нелокальные пакеты отбрасываются
-A ufw-not-local -m limit --limit 3/мин --limit-burst 10 -j ufw-logging-deny
-A ufw-не-местный -j DROP
# разрешить MULTICAST mDNS для обнаружения службы (убедитесь, что строка MULTICAST выше
# раскомментировано)
-A ufw-перед-вводом -p udp -d 224.0.0.251 --dport 5353 -j ПРИНЯТЬ
# разрешить MULTICAST UPnP для обнаружения службы (убедитесь, что строка MULTICAST выше
# раскомментировано)
-A ufw-до-ввода -p udp -d 239.255.255.250 --dport 1900 -j ПРИНЯТЬ
# не удаляйте строку 'COMMIT', иначе эти правила не будут обработаны
СОВЕРШИТЬ
