Instalei o servidor IPSEC L2TP VPN no Ubuntu 12 x86 vps. Eu quero bloquear alguns sites para clientes conectados ao servidor VPN. Então, alterei o arquivo hosts no Ubuntu para bloquear o acesso a sites indesejados como esse: 0.0.0.0 www.unwanteddomain.com etc.
Quando tento conectar sites indesejados do terminal no Ubuntu com wget www.unwanteddomain.com , ele diz:
Resolving www.unwanteddomain.com (www.unwanteddomain.com)... 0.0.0.0 Connecting to www.unwanteddomain.com (www.unwanteddomain.com)|0.0.0.0|:80... failed: Connection refused.
Então, acho que a função de arquivo hosts funciona bem. Mas quando eu quero abrir esses sites de clientes VPN conectados, isso não funciona. Ainda posso acessar todos os sites do cliente.
Como é possível que enquanto o servidor VPN não puder acessar um site, o cliente VPN pode? E o que devo fazer para bloquear esses sites também de clientes VPN?
IPTables.rules
filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:ICMPALL - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type 255 -j ICMPALL
-A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp --dport 1701 -j DROP
-A INPUT -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth+ -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth+ -j ACCEPT
-A FORWARD -j DROP
-A ICMPALL -p icmp -f -j DROP
-A ICMPALL -p icmp --icmp-type 0 -j ACCEPT
-A ICMPALL -p icmp --icmp-type 3 -j ACCEPT
-A ICMPALL -p icmp --icmp-type 4 -j ACCEPT
-A ICMPALL -p icmp --icmp-type 8 -j ACCEPT
- A ICMPALL -p icmp --icmp-type 11 -j ACCEPT
-A ICMPALL -p icmp -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.42.0/24 -o eth+ -j SNAT --to-source 23.x.x.203
COMMIT
Tags networking vpn ipsec linux ubuntu