我在 Linux 机器上运行 OpenVPN。VPN 服务器有一个公共 IP 地址 (xxxx),并且 VPN 客户端在 10.8.0.0\24 中的“tun”设备上分配了地址。我有一个 IPTables 规则来 NAT 伪装 10.8.0.0\24 到公共 IP 地址。
为了让 VPN 服务器运行,我必须启用 IP 转发(所以我设置了 net.ipv4.conf.default.forwarding=1)。
... 换句话说,这正是 OpenVPN 教程所说的,没有花哨的技巧。
这一切都有效,但我担心启用转发部分。我认为机器现在会将数据包从任何 IP 地址转发到任何 IP 地址,这似乎不合适。由于它具有可公开访问的 IP,因此这尤其糟糕。
是否有任何防火墙规则建议来限制不需要的转发行为?我认为任何答案都将是 FORWARD 链中的一个或多个 IPTables 规则,但这是我卡住的地方。
谢谢!
如果您将这些规则用于转发表,则应该没问题。
您可以将规则放入文件 /etc/sysconfig/iptables 并重新启动防火墙。对于命令行试用先做
删除转发流量的默认拒绝并在上述三个规则中的每一个之前添加“iptables”。
这是我在 openvpn 网关上设置的部分内容:
请注意,这只是一个子集;规则的其余部分做标准的 NAT 事情。