Tengo un servidor OpenVPN ejecutándose en una máquina Debian. Lo que me gustaría hacer es bloquear todo el tráfico entre clientes conectados a ese servidor OpenVPN.
El servidor tiene una IP local de 10.10.10.1 y los clientes obtienen IP entre 10.10.10.2-10.10.10.8.
Intenté usar iptables, pero parece que el tráfico entre los clientes nunca sale de tun0, por lo que no puedo bloquearlo.
¿Qué puedo hacer? ¿Existe alguna regla de iptables que pueda bloquear el tráfico dentro de una interfaz? (tun0)
cliente a cliente esNOhabilitado en server.conf, pero por alguna razón los usuarios aún pueden hacer ping entre sí y comunicarse entre sí.
Respuesta1
Parece que tiene la opción "cliente a cliente" activada en la configuración openvpn de su servidor. Deberías eliminarlo porque openvpn no enruta el tráfico de cliente a cliente de forma predeterminada.
Aquí está el texto de la página de manual de openvpn:
cliente a cliente
Debido a que el modo de servidor OpenVPN maneja múltiples clientes a través de una única interfaz tun o tap, es efectivamente un enrutador. El indicador --client-to-client le dice a OpenVPN que enrute internamente el tráfico de cliente a cliente en lugar de enviar todo el tráfico originado por el cliente a la interfaz TUN/TAP.
Cuando se utiliza esta opción, cada cliente "verá" los demás clientes que están conectados actualmente. De lo contrario, cada cliente sólo verá el servidor. No utilice esta opción si desea proteger el tráfico del túnel mediante reglas personalizadas por cliente.
Respuesta2
Agregue una regla en el servidor para bloquear todo el tráfico entre clientes, por ejemplo:
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP