目前我运行一个 openvpn 服务器,它在每个客户端基础上推送一条路由(不同的客户端接收不同的路由和静态 ip)。
ccd/client1
push "route 172.16.236.0 255.255.255.0"
ifconfig-push 10.8.0.29 255.0.0.0
然后我将流量从 vpn tun 接口路由到客户端特定的 docker 网络接口(多个)。
sudo iptables -A FORWARD -i tun0 -o br-6b1cd32adc27 -j ACCEPT
sudo iptables -A FORWARD -i br-6b1cd32adc27 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o br-6b1cd32adc27 -j MASQUERADE
但是,如果一个客户端只是通过 ip 添加路由,则一个客户端有可能访问用于另一个客户端的接口。
ip route add 172.16.236.0/24 via 255.0.0.0
我想限制这种行为并以某种方式过滤仅对特定客户端 ip 地址访问特定接口。
我怎样才能使这成为可能?