Фильтрация трафика OpenVPN в цепочке FORWARD
1) Для начала идем в файл конфигурации сервера openvpn.conf
проверяем правильно ли указана команда, передающая маршрут к сети VPN клиентам.
Если сеть VPN у нас к примеру 10.0.50.0/24, то должна быть такая строчка:
push «route 10.0.50.0 255.255.255.0
2) Потом убираем, если есть параметр: client-to-client
При включенном client-to-client трафик не доходит до ядра, и как следствие не попадает в цепочку FORWARD.
3) потом включаем форвардинг пакетов ядром:
echo «1» > /proc/sys/net/ipv4/ip_forward
После этого заходим в файл: /etc/sysctl.conf и проверяем, что бы было так:
net.ipv4.ip_forward = 1
4) Вносим изменения в файл конфигурации iptables:
указываем для цепочки FORWARD правило по умолчанию DROP:
iptables -P FORWARD DROP
и вносим правила, разрешающие новые соединения и обмен пакетами между нужными нам ip:
iptables -A FORWARD -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.0.50.6 -d 10.0.50.10 -j ACCEPT
iptables -A FORWARD -s 10.0.50.10 -d 10.0.50.6 -j ACCEPT
iptables -A FORWARD -j DROP
Что бы понять это все, я потратил два дня своей жизни. 🙂