Bloquear sites da Web para clientes VPN

0

Instalei o servidor IPSEC L2TP VPN no Ubuntu 12 x86 vps. Eu quero bloquear alguns sites para clientes conectados ao servidor VPN. Então, alterei o arquivo hosts no Ubuntu para bloquear o acesso a sites indesejados como esse: 0.0.0.0 www.unwanteddomain.com etc.

Quando tento conectar sites indesejados do terminal no Ubuntu com wget www.unwanteddomain.com , ele diz:

Resolving www.unwanteddomain.com (www.unwanteddomain.com)... 0.0.0.0 Connecting to www.unwanteddomain.com (www.unwanteddomain.com)|0.0.0.0|:80... failed: Connection refused.

Então, acho que a função de arquivo hosts funciona bem. Mas quando eu quero abrir esses sites de clientes VPN conectados, isso não funciona. Ainda posso acessar todos os sites do cliente.

Como é possível que enquanto o servidor VPN não puder acessar um site, o cliente VPN pode? E o que devo fazer para bloquear esses sites também de clientes VPN?

IPTables.rules

    filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :ICMPALL - [0:0]
    -A INPUT -m conntrack --ctstate INVALID -j DROP
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p icmp --icmp-type 255 -j ICMPALL
    -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
    -A INPUT -p tcp --dport 22 -j ACCEPT
    -A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
    -A INPUT -p udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
    -A INPUT -p udp --dport 1701 -j DROP
    -A INPUT -j DROP
    -A FORWARD -m conntrack --ctstate INVALID -j DROP
    -A FORWARD -i eth+ -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i ppp+ -o eth+ -j ACCEPT
    -A FORWARD -j DROP
    -A ICMPALL -p icmp -f -j DROP        
    -A ICMPALL -p icmp --icmp-type 0 -j ACCEPT
    -A ICMPALL -p icmp --icmp-type 3 -j ACCEPT
    -A ICMPALL -p icmp --icmp-type 4 -j ACCEPT
    -A ICMPALL -p icmp --icmp-type 8 -j ACCEPT
    - A ICMPALL -p icmp --icmp-type 11 -j ACCEPT
    -A ICMPALL -p icmp -j DROP
    COMMIT
    *nat
    :PREROUTING ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    -A POSTROUTING -s 192.168.42.0/24 -o eth+ -j SNAT --to-source 23.x.x.203
    COMMIT
    
por Faruk KAHRAMAN 23.02.2015 / 14:50

0 respostas