Фильтрация трафика OpenVPN в цепочке FORWARD

1) Для начала идем в файл конфигурации сервера openvpn.conf
проверяем правильно ли указана команда, передающая маршрут к сети VPN клиентам.
Если сеть VPN у нас к примеру 10.0.50.0/24, то должна быть такая строчка:

push «route 10.0.50.0 255.255.255.0

2) Потом убираем, если есть параметр: client-to-client

При включенном client-to-client трафик не доходит до ядра, и как следствие не попадает в цепочку FORWARD.

3) потом включаем форвардинг пакетов ядром:

echo «1» > /proc/sys/net/ipv4/ip_forward

После этого заходим в файл: /etc/sysctl.conf и проверяем, что бы было так:

net.ipv4.ip_forward = 1

4) Вносим изменения в файл конфигурации iptables:

указываем для цепочки FORWARD правило по умолчанию DROP:

iptables -P FORWARD DROP

и вносим правила, разрешающие новые соединения и обмен пакетами между нужными нам ip:

iptables -A FORWARD -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.0.50.6 -d 10.0.50.10 -j ACCEPT
iptables -A FORWARD -s 10.0.50.10 -d 10.0.50.6 -j ACCEPT
iptables -A FORWARD -j DROP

Что бы понять это все, я потратил два дня своей жизни. 🙂

Print Friendly, PDF & Email
 

Добавить комментарий

Ваш адрес email не будет опубликован.