Tenho bastionservidores que aceitam usuários via OpenVPN. O bastião possui dois adaptadores de rede: uma perna na Internet e a outra em uma rede privada. Cada usuário possui um endereço IP diferente e diferentes locais onde pode visitar dentro da rede privada.
Por exemplo: o usuário John possui o IP estático 10.8.0.1, no OpenVPN. John só pode acessar este endereço IP 10.8.1.1, dentro da rede interna. Qualquer outro lugar que John tentar acessar deverá ser bloqueado.
Eu tentei fazer algo assim:
iptables -A FORWARD -p tcp --source 10.8.0.1 --destination 10.8.1.1 -j ACCEPT
A política padrão para INPUT, OUTPUT e FORWARD é bloquear.
Esperava-se que isso permitisse que John acessasse seus recursos. Mas na verdade todos os seus pedidos estão sendo bloqueados.
O que estou fazendo de errado?
Atualização 1
Adicionando o código completo:
#!/bin/sh
# flush all
iptables -F
iptables -X
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Allow unlimited traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -p tcp --source 10.8.0.1 --destination 10.8.1.1 -j ACCEPT
# make sure nothing comes or goes out of this box
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP