Debian 상자에서 OpenVPN 서버를 실행하고 있습니다. 제가 하고 싶은 것은 해당 OpenVPN 서버에 연결된 클라이언트 간의 모든 트래픽을 차단하는 것입니다.
서버의 로컬 IP는 10.10.10.1이고 클라이언트는 10.10.10.2-10.10.10.8 사이의 IP를 얻습니다.
iptables를 사용해 보았지만 클라이언트 간의 트래픽이 tun0을 절대 벗어나지 않는 것 같아서 차단할 수 없습니다.
어떡해? 인터페이스 내부의 트래픽을 차단할 수 있는 iptables 규칙이 있습니까? (tun0)
클라이언트 대 클라이언트는아니다server.conf에서 활성화되었지만 어떤 이유로 사용자는 여전히 서로 ping하고 통신할 수 있습니다.
답변1
서버 openvpn 구성에서 "클라이언트-클라이언트" 옵션이 켜져 있는 것 같습니다. openvpn은 기본적으로 클라이언트 간 트래픽을 라우팅하지 않으므로 제거해야 합니다.
다음은 openvpn 매뉴얼 페이지의 텍스트입니다.
클라이언트 대 클라이언트
OpenVPN 서버 모드는 단일 조정 또는 탭 인터페이스를 통해 여러 클라이언트를 처리하므로 사실상 라우터입니다. --client-to-client 플래그는 OpenVPN에 모든 클라이언트 시작 트래픽을 TUN/TAP 인터페이스로 푸시하는 대신 클라이언트-클라이언트 트래픽을 내부적으로 라우팅하도록 지시합니다.
이 옵션을 사용하면 각 클라이언트는 현재 연결된 다른 클라이언트를 "볼" 수 있습니다. 그렇지 않으면 각 클라이언트는 서버만 볼 수 있습니다. 사용자 정의 클라이언트별 규칙을 사용하여 터널 트래픽을 방화벽화하려는 경우에는 이 옵션을 사용하지 마십시오.
답변2
클라이언트 간의 모든 트래픽을 차단하는 규칙을 서버에 추가합니다. 예:
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP