Ich habe einen OpenVPN-Server auf einer Debian-Box laufen. Ich möchte den gesamten Datenverkehr zwischen den mit diesem OpenVPN-Server verbundenen Clients blockieren.
Der Server hat eine lokale IP von 10.10.10.1 und die Clients erhalten IPs zwischen 10.10.10.2-10.10.10.8.
Ich habe versucht, iptables zu verwenden, aber es scheint, dass der Datenverkehr zwischen den Clients tun0 nie verlässt, sodass ich ihn nicht blockieren kann.
Was kann ich tun? Gibt es eine iptables-Regel, die den Datenverkehr innerhalb einer Schnittstelle blockieren kann? (tun0)
Client-to-Client istNICHTin server.conf aktiviert, aber aus irgendeinem Grund können Benutzer sich immer noch gegenseitig anpingen und miteinander kommunizieren.
Antwort1
Sieht so aus, als ob Sie in Ihrer OpenVPN-Serverkonfiguration die Option „Client-zu-Client“ aktiviert haben. Sie sollten sie einfach entfernen, da OpenVPN standardmäßig keinen Client-zu-Client-Verkehr weiterleitet.
Hier ist Text aus der Manpage von OpenVPN:
Kunde zu Kunde
Da der OpenVPN-Servermodus mehrere Clients über eine einzige Tun- oder Tap-Schnittstelle verwaltet, handelt es sich effektiv um einen Router. Das Flag --client-to-client weist OpenVPN an, den Datenverkehr von Client zu Client intern weiterzuleiten, anstatt den gesamten vom Client stammenden Datenverkehr an die TUN/TAP-Schnittstelle zu leiten.
Wenn diese Option verwendet wird, „sieht“ jeder Client die anderen Clients, die derzeit verbunden sind. Andernfalls sieht jeder Client nur den Server. Verwenden Sie diese Option nicht, wenn Sie den Verkehr mit einer Firewall tunneln möchten und dabei benutzerdefinierte Regeln für jeden Client verwenden.
Antwort2
Fügen Sie auf dem Server eine Regel hinzu, um den gesamten Datenverkehr zwischen Clients zu blockieren, z. B.:
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP