Tengo bastionservidores que aceptan usuarios a través de OpenVPN. El bastión tiene dos adaptadores de red: uno en Internet y el otro en una red privada. Cada usuario tiene una dirección IP diferente y diferentes lugares que puede visitar dentro de la red privada.
Por ejemplo: el usuario John tiene la IP estática 10.8.0.1, en OpenVPN. John solo puede acceder a esta dirección IP 10.8.1.1, dentro de la red interna. Cualquier otro lugar al que John intente acceder debe estar bloqueado.
Intenté hacer algo como esto:
iptables -A FORWARD -p tcp --source 10.8.0.1 --destination 10.8.1.1 -j ACCEPT
La política predeterminada para ENTRADA, SALIDA y ADELANTE es bloquear.
Se esperaba que eso le permitiera a John acceder a su recurso. Pero en realidad todas sus solicitudes están siendo bloqueadas.
¿Qué estoy haciendo mal?
Actualización 1
Agregando el código completo:
#!/bin/sh
# flush all
iptables -F
iptables -X
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Allow unlimited traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -p tcp --source 10.8.0.1 --destination 10.8.1.1 -j ACCEPT
# make sure nothing comes or goes out of this box
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP