我有一個在 Debian 機器上運行的 OpenVPN 伺服器。我想要做的是阻止連接到該 OpenVPN 伺服器的客戶端之間的所有流量。
伺服器的本機 IP 為 10.10.10.1,客戶端取得的 IP 範圍為 10.10.10.2-10.10.10.8。
我嘗試使用 iptables,但似乎客戶端之間的流量永遠不會離開 tun0,所以我無法阻止它。
我能做些什麼?是否有一些 iptables 規則可以阻止介面內的流量? (tun0)
客戶端到客戶端是不是在 server.conf 中啟用,但由於某種原因用戶仍然可以互相 ping 通並互相通訊。
答案1
似乎您在伺服器 openvpn 配置中開啟了「客戶端到客戶端」選項。您應該將其刪除,因為預設情況下 openvpn 不會路由客戶端到客戶端的流量。
以下是 openvpn 手冊頁中的文字:
客戶對客戶
由於 OpenVPN 伺服器模式透過單一 tun 或 tap 介面處理多個客戶端,因此它實際上是一個路由器。 --client-to-client 標誌告訴 OpenVPN 在內部路由客戶端到客戶端的流量,而不是將所有客戶端發起的流量推送到 TUN/TAP 介面。
使用此選項時,每個用戶端都會「看到」目前連線的其他用戶端。否則,每個客戶端只能看到伺服器。如果您想要使用自訂的每個用戶端規則對隧道流量進行防火牆,請不要使用此選項。
答案2
在伺服器上新增一條規則以阻止客戶端之間的所有流量,例如:
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP