主页 / server / 问题 / 542294
Accepted
Tuinslak
Asked: 2013-09-28 15:40:26 +0800 CST

OpenVPN 和“适当地防火墙 tun 接口”(iptables)

  • 772

在 OpenVPN 的默认配置中,在客户端到客户端的行中有这样的注释:

# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.

多年来,我一直想知道它们对接口的“适当”防火墙的实际含义。快速谷歌也没有给出任何特定的 iptables 规则来执行以“解决”这个问题。

此评论是什么意思,我如何使用 iptables 适当地对其进行防火墙保护?

iptables

1 个回答

  1. Best Answer

    我认为这只是意味着一旦您启动了带有 IP 的 tap/tun 设备,您就想对其进行防火墙保护,以防止从您的 vpn 连接到的远程 LAN 进行连接...

    在我的 Mac 上,我有:

    utun0: flags=80d1<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1418<br>
inet 10.17.225.17 --> 10.17.225.17 netmask 0xfffffe00

    由于我没有设置防火墙(故意),远程局域网上的任何人都可以连接到我在我的机器上打开的端口。因此,例如,阻止来自远程 LAN 的传入 tcp/80 可能是“适当的”。在 linux 上看起来像:

    iptables -A INPUT -i tun0 -p tcp --dport 80 -j DROP
    • 1

相关问题