Forwarding IP di Linux per OpenVPN – installazione corretta del firewall?

Ho OpenVPN in esecuzione su una macchina Linux. Il server VPN dispone di un indirizzo IP pubblico (xxxx) ei client VPN sono assegnati indirizzi nel dispositivo "tun" in 10.8.0.0 \ 24. Ho una regola IPTables a NAT masquerade 10.8.0.0 \ 24 sull'indirizzo IP pubblico.

Per get il server VPN in esecuzione, ho dovuto abilitare l'inoltro IP (quindi ho impostato net.ipv4.conf.default.forwarding = 1).

… In altre parole, è esattamente quello che dice l'OpenVPN tutorial, senza trucchi fantasiosi.

Tutto questo funziona, ma sono preoccupato per la parte inoltro abilitante. Penso che la macchina inoltrerà ora pacchetti da qualsiasi indirizzo IP a qualsiasi indirizzo IP, che non sembra opportuno. Poiché ha un IP accessibile a livello pubblico, questo è particolarmente difettoso.

Esistono suggerimenti per regole firewall per limitare il comportmento di inoltro non desiderato? Penso che qualsiasi risposta sarà una o più regole di IPTables nella catena FORWARD, ma questo è where sono bloccato.

Grazie!

  • Il traffico SSH sulla connessione openvpn si blocca quando gatto un file
  • configuration ridondante openvpn
  • Ping dalla networking VPN al lavoro VPN client; ping in da client VPN alla networking VPN fallisce - perché?
  • Il server Openvpn può ping via IP ma non tramite hostname
  • Reset di connessione di linux Openvpn, riavvio
  • Migliorare le performance di OpenVPN
  • VPN non può connettersi correttamente
  • collegato a Centos openvpn ma non all'esterno dell'accesso a Internet
  • 2 Solutions collect form web for “Forwarding IP di Linux per OpenVPN – installazione corretta del firewall?”

    Se utilizzi queste regole per la tabella di inoltro, dovresti essere soddisfacente.

    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 10.8.0.0/24 -j ACCEPT -A FORWARD -j REJECT 

    È ansible inserire le regole nel file / etc / sysconfig / iptables e riavviare il firewall. Per la prima prova di row di command fare

      iptables -F 

    per rimuovere il rifiuto predefinito del traffico di inoltro e aggiungere 'iptables' prima di ciascuna delle tre regole di cui sopra.

    Ecco un sottoinsieme di quello che ho installato sul mio gateway openvpn:

     iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT # vpn to vpn iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT # vpn to ethernet iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT # ethernet to vpn 

    Si noti che questo è solo un sottoinsieme; il resto della regola fa le cose standard NAT.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.