У меня есть сервер OpenVPN, работающий на Debian box. Я хотел бы заблокировать весь трафик между клиентами, подключенными к этому серверу OpenVPN.
Сервер имеет локальный IP-адрес 10.10.10.1, а клиенты получают IP-адреса в диапазоне 10.10.10.2-10.10.10.8.
Я пробовал использовать iptables, но, похоже, трафик между клиентами никогда не покидает tun0, поэтому я не могу его заблокировать.
Что я могу сделать? Есть ли какое-то правило iptables, которое может блокировать трафик внутри интерфейса? (tun0)
клиент-клиентуНЕТвключено в server.conf, но по какой-то причине пользователи все равно могут пинговать друг друга и общаться друг с другом.
решение1
Похоже, у вас в конфигурации сервера OpenVPN включена опция "клиент-клиент". Вам просто нужно ее удалить, так как OpenVPN по умолчанию не маршрутизирует трафик клиент-клиент.
Вот текст с man-страницы openvpn:
клиент-клиенту
Поскольку режим сервера OpenVPN обрабатывает несколько клиентов через один интерфейс tun или tap, он фактически является маршрутизатором. Флаг --client-to-client сообщает OpenVPN о необходимости внутренней маршрутизации трафика от клиента к клиенту, а не о передаче всего трафика, исходящего от клиента, на интерфейс TUN/TAP.
При использовании этой опции каждый клиент будет «видеть» других клиентов, которые в данный момент подключены. В противном случае каждый клиент будет видеть только сервер. Не используйте эту опцию, если вы хотите заблокировать туннельный трафик с помощью индивидуальных правил для каждого клиента.
решение2
Добавьте правило на сервере для блокировки всего трафика между клиентами, например:
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP