Я следовал руководству по настройке Raspberry Pi для подключения к VPN, а затем применил NAT для трафика из моей локальной сети в VPN, чтобы защитить его.
Я также использую его для DNS-фильтрации (блокировки рекламы).
Фильтрация доменов не отфильтровывает IP-адреса, которые мне не нравятся, поэтому я пытаюсь узнать об IP-сетях, чтобы запретить связь с обширными областями Интернета.
В настоящее время мой сценарий для всего этого выглядит следующим образом:
iptables -F
ipset restore < /etc/ipset-blacklist/ip-blacklist.restore
iptables -I INPUT 1 -m set --match-set blacklist src -j DROP
iptables -I FORWARD -m set --match-set blacklist src -j DROP
iptables -I OUTPUT -m set --match-set blacklist src -j DROP
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -L
Это работает!
Но я не понимаю, почему, и не думаю, что мне нужны все три правила черного списка для ВВОДА, ПЕРЕСЫЛКИ и ВЫВОДА — у меня такое чувство, что я добился рабочего результата неправильным путем — и не понимая его.
Может ли кто-нибудь более мудрый, чем я, понять, что я пытаюсь сделать, чего я добился и где я ошибся?
А что означает «1» в этой строке:
iptables -I INPUT 1 -m set --match-set blacklist src -j DROP
Вот цель, которая уже отчасти достигнута: Цель ЛВС
решение1
Редактировать:: «1» обозначает порядок правила.
Единственной необходимой цепочкой является цепочка FORWARD, а не все три.
Я предполагаю, что это происходит из-за того, что весь трафик перенаправляется.