OpenVPN - Bloqueio de tráfego cliente-cliente

OpenVPN - Bloqueio de tráfego cliente-cliente

Eu tenho um servidor OpenVPN rodando em uma caixa Debian. O que eu gostaria de fazer é bloquear todo o tráfego entre clientes conectados a esse servidor OpenVPN.

O servidor possui um IP local 10.10.10.1 e os clientes obtêm IPs entre 10.10.10.2-10.10.10.8.

Tentei usar o iptables, mas parece que o tráfego entre os clientes nunca sai do tun0 então não consigo bloqueá-lo.

O que posso fazer? Existe alguma regra do iptables que pode bloquear o tráfego dentro de uma interface? (tun0)

cliente para cliente éNÃOhabilitado em server.conf, mas por algum motivo os usuários ainda podem fazer ping entre si e se comunicar entre si.

Responder1

Parece que você tem a opção "cliente para cliente" ativada na configuração do servidor openvpn. Você deve apenas removê-lo porque o openvpn não roteia o tráfego de cliente para cliente por padrão.

Aqui está o texto da página de manual do openvpn:

cliente para cliente

Como o modo de servidor OpenVPN lida com vários clientes por meio de uma única interface tun ou tap, ele é efetivamente um roteador. O sinalizador --client-to-client diz ao OpenVPN para rotear internamente o tráfego cliente-a-cliente, em vez de enviar todo o tráfego originado do cliente para a interface TUN/TAP.

Quando esta opção for utilizada, cada cliente “verá” os demais clientes que estão conectados no momento. Caso contrário, cada cliente verá apenas o servidor. Não use esta opção se quiser proteger o tráfego do túnel usando regras personalizadas por cliente.

Responder2

Adicione uma regra no servidor para bloquear todo o tráfego entre clientes, por exemplo:

sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP

informação relacionada