A maioria dos seus requisitos é clara, e. g .:
- o Debian VPS deve poder enviar e-mails
- o VPS do Debian deve ser capaz de consultar servidores DNS
- bloqueia scanners do Debian VPS
- seu computador deve ser capaz de estabelecer sessões SSH para o VPS
- seu computador deve ser capaz de estabelecer sessões openVPN para o VPS
Não está claro para mim é "uma vez conectado, em seguida, ser capaz de navegar na Internet". Eu tenho uma suposição, no entanto. ;)
enviar e-mails
Dependendo do protocolo que você deseja usar para enviar e-mails, abra a respectiva porta (por exemplo, a porta TCP 25 ou a porta TCP 587; utilizarei 25 no exemplo abaixo):
iptables -I OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
Em seguida, você precisa permitir o tráfego de entrada de retorno do servidor de e-mail remoto:
iptables -I INPUT -p tcp -m tcp --sport 25 -j ACCEPT
ou melhor:
iptables -I INPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 25 -j ACCEPT
(permitindo que todos os tcp retornem tráfego da porta 25 em uma conexão estabelecida pelo seu Debian VPS).
consultas DNS
Isso é muito semelhante ao envio de e-mails:
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p udp -m state --state ESTABLISHED,RELATED --sport 53 -j ACCEPT
SSH e openVPN
isto é o que você já configurou você mesmo
navegar na Internet
Eu suponho que você quer
- conecte-se ao Debian VPS via openVPN
- navegue pela Internet através do Debian VPS
- para que seu PC em casa apareça como era o Debian VPS (em termos de endereço IP público)
Então você quer
habilita o encaminhamento do kernel no Debian VPS:
$ sudo sysctl -w net.ipv4.ip_forward=1
e adicionalmente
$ sudo nano /etc/sysctl.conf
e verifique se há uma linha descomentada (sem #
na frente) que lê
net.ipv4.ip_forward=1
habilita o encaminhamento de iptables
Além disso, você deseja habilitar o encaminhamento no iptables:
Suponho que você use openVPN no modo de roteamento usando um dispositivo tun
(em oposição ao modo de ponte usando um dispositivo tap
e que você usa 10.8.0.0/24 (padrão do openVPN) como intervalo de endereços IP.
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o eth0 -i tun+ -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
bloqueando scanners
Bem, os scanners geralmente olham para portas usadas com frequência, como 80, 22, 1194. Então, pessoalmente, gosto de usar portas diferentes. Eu escrevi sobre o uso de métodos diferentes nesta postagem de superusuário aqui , usando atd
para ajudar você a não se trancar fora do controle remoto Debian VPS. Em suma, você poderia
- use SSH e openVPN em uma porta diferente
- use batida de porta para abrir as portas mediante solicitação