Ich habe OpenVPN auf einem Linux-Rechner laufen. Der VPN-Server hat eine öffentliche IP-Adresse (xxxx) und den VPN-Clients werden Adressen auf dem „tun“-Gerät in 10.8.0.0\24 zugewiesen. Ich habe eine IPTables-Regel, um 10.8.0.0\24 per NAT auf die öffentliche IP-Adresse zu maskieren.
Um den VPN-Server zum Laufen zu bringen, musste ich die IP-Weiterleitung aktivieren (also habe ich net.ipv4.conf.default.forwarding=1 festgelegt).
... Mit anderen Worten, es ist genau das, was im OpenVPN-Tutorial beschrieben wird, ohne ausgefallene Tricks.
Das funktioniert alles, aber ich mache mir Sorgen wegen der Aktivierung der Weiterleitung. IchdenkenDie Maschine leitet nun Pakete von jeder beliebigen IP-Adresse an jede beliebige IP-Adresse weiter, was nicht geeignet erscheint. Da es sich um eine öffentlich zugängliche IP handelt, ist dies besonders schlecht.
Gibt es Vorschläge für Firewall-Regeln, um das unerwünschte Weiterleitungsverhalten einzuschränken? Ich denke, die Antwort wird eine oder mehrere IPTables-Regeln in der FORWARD-Kette sein, aber hier stecke ich fest.
Danke!
Antwort1
Wenn Sie diese Regeln zum Weiterleiten von Tabellen verwenden, sollte alles gut gehen.
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT
Sie können die Regeln in die Datei /etc/sysconfig/iptables einfügen und die Firewall neu starten. Für den Versuch mit der Kommandozeile führen Sie zunächst
iptables -F
um die standardmäßige Ablehnung der Weiterleitung von Datenverkehr zu entfernen und vor jeder der drei oben genannten Regeln „iptables“ hinzuzufügen.
Antwort2
Hier ist eine Teilmenge dessen, was ich auf meinem OpenVPN-Gateway eingerichtet habe:
iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT # vpn to vpn
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT # vpn to ethernet
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT # ethernet to vpn
Beachten Sie, dass dies nur eine Teilmenge ist. Der Rest der Regel führt standardmäßige NAT-Aufgaben aus.