Eu tenho um servidor OpenVPN rodando em uma caixa Debian. O que eu gostaria de fazer é bloquear todo o tráfego entre clientes conectados a esse servidor OpenVPN.
O servidor possui um IP local 10.10.10.1 e os clientes obtêm IPs entre 10.10.10.2-10.10.10.8.
Tentei usar o iptables, mas parece que o tráfego entre os clientes nunca sai do tun0 então não consigo bloqueá-lo.
O que posso fazer? Existe alguma regra do iptables que pode bloquear o tráfego dentro de uma interface? (tun0)
cliente para cliente éNÃOhabilitado em server.conf, mas por algum motivo os usuários ainda podem fazer ping entre si e se comunicar entre si.
Responder1
Parece que você tem a opção "cliente para cliente" ativada na configuração do servidor openvpn. Você deve apenas removê-lo porque o openvpn não roteia o tráfego de cliente para cliente por padrão.
Aqui está o texto da página de manual do openvpn:
cliente para cliente
Como o modo de servidor OpenVPN lida com vários clientes por meio de uma única interface tun ou tap, ele é efetivamente um roteador. O sinalizador --client-to-client diz ao OpenVPN para rotear internamente o tráfego cliente-a-cliente, em vez de enviar todo o tráfego originado do cliente para a interface TUN/TAP.
Quando esta opção for utilizada, cada cliente “verá” os demais clientes que estão conectados no momento. Caso contrário, cada cliente verá apenas o servidor. Não use esta opção se quiser proteger o tráfego do túnel usando regras personalizadas por cliente.
Responder2
Adicione uma regra no servidor para bloquear todo o tráfego entre clientes, por exemplo:
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP